mdecrevoisier/SIGMA-detection-rules

GitHub: mdecrevoisier/SIGMA-detection-rules

Stars: 413 | Forks: 77

# SIGMA 检测规则 ## 项目目的： **SIGMA 检测规则**提供了一套免费的 >350 条高级关联规则，可用于可疑活动的威胁 hunting。 ## 如何使用规则： SIGMA 规则可以结合您的 SIEM 以不同方式使用： * 使用原生 SIGMA 转换器：https://github.com/SigmaHQ/sigma * 使用 SOC Prime 在线 SIGMA 转换器：https://uncoder.io/ * 使用 SOC Prime 免费 Kibana 插件：https://github.com/socprime/SigmaUI ## 涉及的 Microsoft 产品： * Windows 10 * Windows Server 2016 * Active Directory Domain Services (ADDS) * Active Directory Certification Services (ADCS / PKI) 及在线响应程序 (OCSP) * SQL Server 2014 * Windows Defender * SYSMON v11 及更高版本 * Exchange 2016 * Internet Information Services (IIS web server) ## SIGMA 规则内容 Att@ck 战术 | Att@ck 技术 | 描述 | 事件 ID | 威胁名称 / 工具 / CVE |:-------------------------|:------------------|:-------------------------|:------------------|:------------------| Antivirus | Antivirus | Defender: 防病毒软件未更新 | 1151 | Antivirus | Antivirus | Defender: 检测到多台主机爆发大规模恶意软件 | 1116 | Antivirus | Antivirus | Defender: 检测到单台主机存在大量恶意软件 | 1116 | TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | 由于账户策略限制导致登录被拒绝 | 4625 | TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | 来自单一来源的禁用账户登录失败 | 33205 | TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | 来自单一来源的禁用账户登录失败 | 4624 | TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | 使用同一账户对多台主机执行多次成功登录 | 4624 | TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | OpenSSH 服务器成功登录 | 4 | SSH server TA0001-Initial access | T1078.002-Valid accounts-Domain accounts | OpenSSH 服务器成功登录 | 4624 | SSH server TA0001-Initial access | T1078-Valid accounts | 通过 Azure 串行控制台登录 | 4624 | TA0001-Initial access | T1078-Valid accounts | 使用有效凭据对多台主机执行 RDP 侦察 | 4624 或 1149 | TA0002-Execution | T1047-Windows Management Instrumentation | Impacket WMIexec 进程执行 | 1 或 4688 | WMIexec TA0002-Execution | T1053.005-Scheduled Task | 计划任务触发的交互式 shell (at，已弃用) | 1 或 4688 | TA0002-Execution | T1053.005-Scheduled Task | 创建具有 SYSTEM 权限的持久化计划任务 | 1 或 4688 | TA0002-Execution | T1053.005-Scheduled Task | 通过命名管道远程创建计划任务 | 5145 | Atexec TA0002-Execution | T1053.005-Scheduled Task | 计划任务被快速创建并删除 | 4698 和 4699 | Atexec TA0002-Execution | T1053.005-Scheduled Task | 计划任务创建 | 1 或 4688 | TA0002-Execution | T1059.001-Command and Scripting Interpreter: PowerShell | 部署编码的 PowerShell 负载 | 800 或 4103 或 4104 | TA0002-Execution | T1059.001-Command and Scripting Interpreter: PowerShell | 基于 SMB 命名管道的交互式 PipeShell | 800 或 4103 或 4104 | TA0002-Execution | T1059.001-Command and Scripting Interpreter: PowerShell | 通过 PowerShell 下载负载 | 800 或 4103 或 4104 | TA0002-Execution | T1059.001-Command and Scripting Interpreter: PowerShell | Vice Society 用于数据窃取的目录遍历脚本 | 4104 | TA0002-Execution | T1059.003-Command and Scripting Interpreter: Windows Command Shell | 通过串行电缆执行的 CMD shell (命令) | 1 或 4688 | TA0002-Execution | T1059.003-Windows Command Shell | 通过进程执行部署编码的 PowerShell 负载 | 1 或 4688 | TA0002-Execution | T1059.003-Windows Command Shell | SQL Server 负载注入用于反向 shell (MSF) | 1 或 4688 | TA0002-Execution | T1204-User execution | 滥用 Edge 通过控制台下载负载 | 1 或 4688 | TA0002-Execution | T1204-User execution | 滥用 Edge/Chrome 无头模式功能下载负载 | 1 或 4688 | TA0002-Execution | T1569.002-Service Execution | 检测到 PSexec 安装 | 1 或 4688 | TA0002-Execution | T1569.002-Service Execution | 服务大规模故障 (原生) | 7000 或 7009 | Tchopper TA0002-Execution | T1569.002-Service Execution | 服务大规模安装 (原生) | 7045 或 4697 | Tchopper TA0002-Execution | T1569.002-Service Execution | 通过命名管道大规模远程创建服务 (原生) | 5145 | Tchopper TA0003-Persistence | T1078.002-Valid accounts-Domain accounts | 账户重命名为 "admin" (或类似名称) | 4781 | TA0003-Persistence | T1098.xxx-Account manipulation | 创建具有权限的计算机账户 | 4741 | CVE-2021-42278/42287 & SAM-the-admin TA0003-Persistence | T1098.xxx-Account manipulation | 计算机账户重命名但不带尾部 $ 符号 | 4781 | CVE-2021-42278/42287 & SAM-the-admin TA0003-Persistence | T1098.xxx-Account manipulation | 自定义敏感账户密码重置 | 4723 或 4724 | TA0003-Persistence | T1098.xxx-Account Manipulation | 高危域组成员变更 | 4728 或 4756 | TA0003-Persistence | T1098.xxx-Account manipulation | 高危 Exchange 组成员变更 | 4728 或 4756 或 4732 | TA0003-Persistence | T1098.xxx-Account Manipulation | 高危本地域本地组成员变更 | 4732 | TA0003-Persistence | T1098.xxx-Account manipulation | 高危 Skype/Lync/OCS 组成员变更 | 4728 或 4756 或 4732 | TA0003-Persistence | T1098.xxx-Account manipulation | 主机委派设置已更改，可能存在滥用风险 (任意协议) | 4742 | Rubeus TA0003-Persistence | T1098.xxx-Account manipulation | 主机委派设置已更改，可能存在滥用风险 (任意服务，仅 Kerberos) | 4742 | Rubeus TA0003-Persistence | T1098.xxx-Account manipulation | 主机委派设置已更改，可能存在滥用风险 (仅 Kerberos) | 4742 | Rubeus TA0003-Persistence | T1098.xxx-Account manipulation | Kerberos 账户密码重置 | 4723 或 4724 | Golden ticket TA0003-Persistence | T1098.xxx-Account manipulation | 低危 Skype/Lync/OCS 组成员变更 | 4728 或 4756 或 4732 | TA0003-Persistence | T1098.xxx-Account manipulation | 中危 Exchange 组成员变更 | 4728 或 4756 或 4732 | TA0003-Persistence | T1098.xxx-Account Manipulation | 中危本地域本地组成员变更 | 4732 | TA0003-Persistence | T1098.xxx-Account manipulation | 中危 Skype/Lync/OCS 组成员变更 | 4728 或 4756 或 4732 | TA0003-Persistence | T1098.xxx-Account manipulation | 成员被添加到组 (命令) | 1 或 4688 | TA0003-Persistence | T1098.xxx-Account manipulation | 成员被添加到 DNSadmins 组用于 DLL 滥用 | 4732 | DNS DLL abuse TA0003-Persistence | T1098.xxx-Account manipulation | 新管理员 (或类似账户) 由非管理员账户创建 | 4720 | TA0003-Persistence | T1098.xxx-Account manipulation | 计算机账户的 SPN 修改 (目录服务) | 5136 | DCShadow TA0003-Persistence | T1098.xxx-Account manipulation | 计算机账户的 SPN 修改 | 4742 | TA0003-Persistence | T1098.xxx-Account manipulation | 计算机账户的 SPN 修改 | 4742 | DCShadow TA0003-Persistence | T1098.xxx-Account manipulation | 用户账户的 SPN 修改 | 5136 | Kerberoasting TA0003-Persistence | T1098.xxx-Account manipulation | SQL Server: 成员被添加了新的数据库权限 | 33205 | TA0003-Persistence | T1098.xxx-Account manipulation | SQL Server: 成员被添加了新的实例权限 | 33205 | TA0003-Persistence | T1098.xxx-Account manipulation | SQL Server: 新成员被添加到数据库角色 | 33205 | TA0003-Persistence | T1098.xxx-Account manipulation | SQL Server: 新成员被添加到服务器角色 | 33205 | TA0003-Persistence | T1098.xxx-Account manipulation | 检测到创建和/或设置了使用可逆加密的用户账户 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 用户账户标记为 "敏感且不可委派"，其保护已被移除 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 用户账户设置为不需要 Kerberos 预认证 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 用户账户设置为使用 Kerberos DES 加密 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 检测到用户账户密码设置为永不过期 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 检测到用户账户密码设置为不需要 | 4738 | TA0003-Persistence | T1098.xxx-Account manipulation | 使用当前哈希密码更改用户密码 - ChangeNTLM | 4723 | Mimikatz TA0003-Persistence | T1098.xxx-Account manipulation | 在不知道旧密码的情况下更改用户密码 - SetNTLM | 4724 | Mimikatz TA0003-Persistence | T1098.xxx-Account Manipulation | 用户对多个不同组执行大规模组成员变更 | 4728 或 4756 | TA0003-Persistence | T1098-Account Manipulation | 计算机账户设置为 RBCD 委派 | 5136 | TA0003-Persistence | T1098-Account Manipulation | 已禁用的 Guest 或内置账户被激活 (命令) | 1 或 4688 | TA0003-Persistence | T1098-Account Manipulation | 已禁用的 Guest 或内置账户被激活 | 4722 | TA0003-Persistence | T1098-Account Manipulation | 账户添加了 SPN (命令) | 1 或 4688 | TA0003-Persistence | T1136.001-Create account-Local account | 隐藏账户创建 (并快速删除) | 4720 和 4726 | TA0003-Persistence | T1136.001-Create account-Local account | SQL Server: 已禁用的 SA 账户被启用 | 33205 | TA0003-Persistence | T1136.001-Create account-Local account | 用户账户由计算机账户创建 | 4720 | TA0003-Persistence | T1136.001-Create account-Local account | 与 Manic Menagerie 相关的用户创建 (命令) | 1 或 4688 | TA0003-Persistence | T1136.002-Create account-Domain account | 计算机账户由计算机账户创建 | 4741 | TA0003-Persistence | T113.002-Create account-Domain account | 用户账户创建伪装为计算机账户 | 4720 或 4781 | TA0003-Persistence | T1136-Create account | 通过命令行创建用户 | 1 或 4688 | TA0003-Persistence | T1505.001-SQL Stored Procedures | 利用 CLR 进行 SQL 横向移动 | 15457 | TA0003-Persistence | T1505.001-SQL Stored Procedures | SQL Server 专用管理员连接 (DAC) 活动 | 17199 或 17200 或 17201 或 17202 或 17810 | TA0003-Persistence | T1505.001-SQL Stored Procedures | SQL Server 专用管理员连接 (DAC) 模式已激活 | 15457 | TA0003-Persistence | T1505.001-SQL Stored Procedures | SQL Server xp_cmdshell 存储过程已激活 | 18457 | TA0003-Persistence | T1505.001-SQL Stored Procedures | SQL Server: sqlcmd 和 ossql 工具滥用 | 1 或 4688 | TA0003-Persistence | T1505.001-SQL Stored Procedures | SQL Server: 以单用户模式启动用于密码恢复 | 1 或 4688 | TA0003-Persistence | T1505.002-Server Software Component: Transport Agent | 通过配置文件注入 Exchange 传输代理 | 11 | TA0003-Persistence | T1505.002-Server Software Component: Transport Agent | Exchange 传输代理安装痕迹 (PowerShell) | 800 或 4103 或 4104 | TA0003-Persistence | T1505.002-Server Software Component: Transport Agent | Exchange 传输代理安装痕迹 | 1 或 6 | TA0003-Persistence | T1505.004-Server Software Component: IIS Components | Webserver IIS 模块已安装 | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 通过服务安装部署编码的 PowerShell 负载 | 7045 或 4697 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | Impacket SMBexec 服务注册 (原生) | 7045 或 4697 | SMBexec TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 检测到 Mimikatz 服务驱动程序安装 | 7045 或 4697 | Mimikatz TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用服务进行 "命令失败" 后门植入 | 800 或 4103 或 4104 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用服务进行 "命令失败" 后门植入 (注册表) | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用服务进行 "命令失败" 后门植入 (服务) | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用带有恶意 ImagePath 的服务 | 800 或 4103 或 4104 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用带有恶意 ImagePath 的服务 (注册表) | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 滥用带有恶意 ImagePath 的服务 (服务) | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 为 RDP 会话劫持创建的服务 | 7045 或 4697 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 服务创建 (命令) | 1 或 4688 | TA0003-Persistence | T1543.003-Create or Modify System Process-Windows Service | 服务创建 | 800 或 4103 或 4104 | TA0003-Persistence | T1546.003-Windows Management Instrumentation Event Subscription | 系统崩溃行为操纵 (注册表) | 13 | WMImplant TA0003-Persistence | T1546.003-Windows Management Instrumentation Event Subscription | WMI 注册 | 800 或 4103 或 4104 | TA0003-Persistence | T1546.003-Windows Management Instrumentation Event Subscription | WMI 注册 | 19 或 20 或 21 | TA0003-Persistence | T1546.007-Netsh Helper DLL | Netsh 辅助 DLL 命令滥用 | 1 或 4688 | TA0003-Persistence | T1546.007-Netsh Helper DLL | Netsh 辅助 DLL 注册表滥用 | 13 | TA0003-Persistence | T1546-Event Triggered Execution | AdminSDHolder 容器权限被修改 | 5136 | TA0003-Persistence | T1546-Event Triggered Execution | 扩展权限后门混淆 (通过 localizationDisplayId) | 5136 | TA0003-Persistence | T1547.008-Boot or Logon Autostart Execution: LSASS Driver | 安全包 (SSP) 加载到 LSA (原生) | 4622 | TA0003-Persistence | T1547.008-Boot or Logon Autostart Execution: LSASS Driver | win-os-security 包 (SSP) 引用被添加到注册表 | 1 或 4688 | TA0003-Persistence | T1547.009-Boot or Logon Autostart Execution: Shortcut Modification | NTFS 硬链接创建 | 4664 | TA0003-Persistence | T1547.009-Boot or Logon Autostart Execution: Shortcut Modification | NTFS 符号链接配置更改 | 1 或 4688 | TA0003-Persistence | T1547.009-Boot or Logon Autostart Execution: Shortcut Modification | NTFS 符号链接创建 | 1 或 4688 | TA0003-Persistence | T1574.002-DLL Side-Loading | DNS DLL "serverlevelplugindll" 命令执行 | 1 或 4688 | DNS DLL abuse TA0003-Persistence | T1574.002-DLL Side-Loading | DNS 服务器加载失败的 DLL | 150 | DNS DLL abuse TA0003-Persistence | T1574.002-DLL Side-Loading | DNS 服务器成功加载的 DLL | 770 | DNS DLL abuse TA0003-Persistence | T1574.010-Hijack execution flow: service file permissions weakness | 服务权限被修改 | 800 或 4103 或 4104 | TA0003-Persistence | T1574.010-Hijack execution flow: service file permissions weakness | 服务权限被修改 (通过 PowerShell 调用 Reg) | 800 或 4103 或 4104 | TA0003-Persistence | T1574.010-Hijack execution flow: service file permissions weakness | 服务权限被修改 (注册表) | 1 或 4688 | TA0003-Persistence | T1574.010-Hijack execution flow: service file permissions weakness | 服务权限被修改 (服务) | 1 或 4688 | TA0004-Privilege Escalation | T1068-Exploitation for Privilege Escalation | 滥用 SeMachineAccountPrivilege 权限 | 4673 | CVE-2021-42278/42287 & SAM-the-admin TA0004-Privilege Escalation | T1134.001- Access Token Manipulation: Token Impersonation/Theft | 匿名登录 | 4624 和 4688 | RottenPotatoNG TA0004-Privilege Escalation | T1134.002- Access Token Manipulation: Create Process with Token | 通过 runas 提权 (命令) | 4688 和 4648 和 4624 | TA0004-Privilege Escalation | T1134.002- Access Token Manipulation: Create Process with Token | 通过 RunasCS 提权 | 1 或 4688 | TA0004-Privilege Escalation | T1134-Access Token Manipulation | 标准用户向账户授予了新的访问权限 | 4717 或 4718 | TA0004-Privilege Escalation | T1134-Access Token Manipulation | 标准用户向账户授予了用户权限 | 4704 | TA0004-Privilege Escalation | T1484.001-Domain Policy Modification-Group Policy Modification | 敏感组策略修改 | 5136 | TA0004-Privilege Escalation | T1543.003-Create or Modify System Process-Windows Service | 检测到 PSexec 服务安装 | 7045 或 4697 | TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | CMD 由粘滞键执行并通过哈希检测 | 1 或 4688 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键通过命令执行调用 CMD | 1 或 4688 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键无法将 sethc 替换为 CMD | 4656 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键文件由 CMD 复制创建 | 11 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键 IFEO 命令用于注册表更改 | 1 或 4688 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键 IFEO 注册表已更改 | 12 或 12 | Sticky key TA0004-Privilege Escalation | T1546.008-Event Triggered Execution: Accessibility Features | 粘滞键 sethc 命令用于被 CMD 替换 | 1 或 4688 | Sticky key TA0004-Privilege Escalation | T1547.010-Port Monitors | 通过添加打印机进行打印后台处理程序提权 | 800 或 4103 或 4104 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-Privilege Escalation | T1574.002-DLL Side-Loading | 映射了外部打印机 | 4688 和 4648 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-Privilege Escalation | T1574.002-DLL Side-Loading | 添加了新的外部设备 | 6416 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-Privilege Escalation | T1574.002-DLL Side-Loading | 安装了来自 Mimikatz 的打印机后台处理驱动程序 | 808 或 354 或 321 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-Privilege Escalation | T1574.002-DLL Side-Loading | 后台处理程序进程生成了 CMD shell | 1 或 4688 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0005-Defense Evasion | T1027-Obfuscated Files or Information | 通过服务名称传输混淆的负载 | 1 或 4688 | Tchopper TA0005-Defense Evasion | T1036-Masquerading | SearchIndex 进程可疑活动 | 1 或 4688 | TA0005-Defense Evasion | T1070.001-Indicator Removal on Host | 事件日志文件已清除 | 104 或 1102 | TA0005-Defense Evasion | T1070.001-Indicator Removal on Host | 检测到尝试清除事件日志文件 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1070.001-Indicator Removal on Host | 检测到尝试清除事件日志文件 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1070.001-Indicator Removal on Host | 检测到尝试清除事件日志文件 1 或 4688 | TA0005-Defense Evasion | T1070.006-Timestomp | 系统时间已更改 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1070.006-Timestomp | 系统时间已更改 | 4616 | TA0005-Defense Evasion | T1078.002-Valid accounts-Domain accounts | 检测到来自 "特殊组" 成员的登录 (特殊登录) | 4964 | TA0005-Defense Evasion | T1112-Modify registry | Impacket SMBexec 服务注册 (注册表) | 13 | SMBexec TA0005-Defense Evasion | T1197-BITS job | 检测到与可疑 BITS 活动相关的命令执行 | 1 或 4688 | TA0005-Defense Evasion | T1197-BITS job | 检测到与可疑 BITS 活动相关的命令执行 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1197-BITS job | 通过 BITS 下载大量数据 | 60 | TA0005-Defense Evasion | T1207-Rogue domain controller | 新的伪造域控制器注册 | 5137 或 5141 | DCShadow TA0005-Defense Evasion | T1207-Rogue domain controller | 敏感属性被访问 | 4662 | DCShadow TA0005-Defense Evasion | T1222.001-File and Directory Permissions Modification | 计算机账户修改 AD 权限 | 5136 | PrivExchange TA0005-Defense Evasion | T1222.001-File and Directory Permissions Modification | 网络共享权限已更改 | 5143 | TA0005-Defense Evasion | T1222.001-File and Directory Permissions Modification | OCSP 安全设置已更改 | 5124(OCSP) | TA0005-Defense Evasion | T1222.001-File and Directory Permissions Modification | GPO 权限已更改 | 5136 | TA0005-Defense Evasion | T1222.001-File and Directory Permissions Modification | 检测到与 "复制目录更改" 相关的敏感 GUID | 4662 | DCSync TA0005-Defense Evasion | T1553.003- Subvert Trust Controls: SIP and Trust Provider Hijacking | 可疑的 SIP 或信任提供程序注册 | 12 或 12 | TA0005-Defense Evasion | T1553.004-Subvert Trust Controls: Install Root Certificate | Certutil 根证书安装 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender 实时保护故障 | 3002 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 关键安全组件已禁用 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 关键安全组件已禁用 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 默认操作设置为允许任何威胁 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 默认操作设置为允许任何威胁 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 排除项已添加 (原生) | 5007 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 排除项已添加 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 安全组件已禁用 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 安全组件已禁用 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | Defender: 服务组件状态已禁用 (通过 Sysmon 注册表) | 13 | TA0005-Defense Evasion | T1562.001-Impair Defenses-Disable or modify tools | 大规模进程终止爆发 | 1 或 4688 | TA0005-Defense Evasion | T1562.002-Disable Windows Event Logging | 事件日志已禁用或大小已减小 | 1 或 4688 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | 审核策略已禁用 | 4719 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 审核对象已删除 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 审核对象已禁用 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 审核规范已删除 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 审核规范已禁用 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 数据库审核规范已删除 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | SQL Server: 数据库审核规范已禁用 | 33205 | TA0005-Defense Evasion | T1562.002-Impair Defenses: Disable Windows Event Logging | 尝试通过命令行禁用或清除审核策略 | 1 或 4688 | TA0005-Defense Evasion | T1562.004-Disable or Modify System Firewall | 防火墙停用 | 1 或 4688 | TA0005-Defense Evasion | T1562.004-Disable or Modify System Firewall | 防火墙停用 | 2003 或 4950 | TA0005-Defense Evasion | T1562.004-Disable or Modify System Firewall | 防火墙停用 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T1562.004-Disable/modify firewall (rule) | 创建了 Any/any 防火墙规则 | 2004 | TA0005-Defense Evasion | T1562.004-Disable/modify firewall (rule) | 由可疑命令创建的防火墙规则 | 2004 | TA0005-Defense Evasion | T1562.004-Disable/modify firewall (rule) | OpenSSH 服务器防火墙配置 (命令) | 1 或 4688 | SSH server TA0005-Defense Evasion | T1562.004-Disable/modify firewall (rule) | OpenSSH 服务器防火墙配置 | 2004 | SSH server TA0005-Defense Evasion | T1562.004-Disable/modify firewall (rule) | OpenSSH 服务器防火墙配置 | 800 或 4103 或 4104 | SSH server TA0005-Defense Evasion | T1562-Impair defense | NTLM 降级攻击 | 13 | TA0005-Defense Evasion | T1564.006-Hide Artifacts: Run Virtual Instance | 检测到适用于 Windows 的 WSL 安装 (命令) | 1 或 4688 | TA0005-Defense Evasion | T1564.006-Hide Artifacts: Run Virtual Instance | 检测到适用于 Windows 的 WSL 安装 (原生) | 9 | TA0005-Defense Evasion | T1564.006-Hide Artifacts: Run Virtual Instance | 检测到适用于 Windows 的 WSL 安装 | 800 或 4103 或 4104 | TA0005-Defense Evasion | T564.006-Hide Artifacts: Run Virtual Instance | 登录尝试中检测到默认 Windows 主机名模式 | 4624 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 使用 LSASSY (内核) 进行 LSASS 凭据转储 | 4656 或 4663 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 使用 LSASSY (PowerShell) 进行 LSASS 凭据转储 | 800 或 4103 或 4104 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 使用 LSASSY (进程) 进行 LSASS 凭据转储 | 1 或 4688 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 使用 LSASSY (共享) 进行 LSASS 凭据转储 | 5145 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 通过任务管理器进行 LSASS 凭据转储 (文件) | 11 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 通过任务管理器访问进行 LSASS 转储指示 | 1 或 4688 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 非系统账户访问 LSASS 进程 | 4656 或 4663 | TA0006-Credential Access | T1003.001-Credential dumping: LSASS | SAM 数据库用户凭据转储 | 4661 | Mimikatz TA0006-Credential Access | T1003.001-Credential dumping: LSASS | 任务管理器用于转储 LSASS 进程 | 4663 | TA0006-Credential Access | T1003.002-Security Account Manager | 通过 SMB ADMIN$ 进行密码转储 | 5145 | Secretdump TA0006-Credential Access | T1003.002-Security Account Manager | DCshadow 期间的 SAM 数据库访问 | 4661 | DCShadow TA0006-Credential Access | T1003.003-NTDS | IFM 已创建 | 325 或 327 | TA0006-Credential Access | T1003.003-NTDS | 从命令行创建 IFM | 1 或 4688 | TA0006-Credential Access | T1003.003-OS Credential-Dumping NTDS | DSRM 配置已更改 (通过命令调用 Reg) | 1 或 4688 | TA0006-Credential Access | T1003.003-OS Credential-Dumping NTDS | DSRM 配置已更改 (通过 PowerShell 调用 Reg) | 800 或 4103 或 4104 | TA0006-Credential Access | T1003.003-OS Credential-Dumping NTDS | DSRM 密码重置 | 4794 | TA0006-Credential Access | T1003.006-DCSync | 成员被添加到 Exchange DCsync 相关组 | 4728 或 4756 或 4732 | DCSync TA0006-Credential Access | T1003.006-DCSync | Netsync 攻击 | 4624 和 5145 | NetSync TA0006-Credential Access | T1003.006-DCSync | 被授予复制权限以执行 DCSync 攻击 | 5136 | DCSync TA0006-Credential Access | T1003-Credential dumping | 通过 WMI 更改注册表权限引入后门 (DAMP) | 4674 | DAMP TA0006-Credential Access | T1003-Credential dumping | Diskshadow 滥用 | 1 或 4688 | TA0006-Credential Access | T1003-Credential dumping | Wdigest 身份验证已启用 (通过命令调用 Reg) | 1 或 4688 | TA0006-Credential Access | T1003-Credential dumping | Wdigest 身份验证已启用 (通过 Sysmon 调用 Reg) | 12 或 12 | TA0006-Credential Access | T1003-OS Credential dumping | 组托管服务账户密码转储 | 662 | GoldenGMSA TA0006-Credential Access | T1040-Network sniffing | Windows 原生嗅探工具 Pktmon 使用 | 1 或 4688 | TA0006-Credential Access | T1110.xxx-Brut force | 通过密码重置进行暴力破解 | 4723 或 4724 | TA0006-Credential Access | T1110.xxx-Brut force | 使用不存在的用户对 Windows OpenSSH 服务器进行暴力枚举 | 4625 或 4 | SSH server TA0006-Credential Access | T1110.xxx-Brut force | 使用有效用户对 Windows OpenSSH 服务器进行暴力破解 | 4625 或 4 | SSH server TA0006-Credential Access | T1110.xxx-Brut force | 使用存在/不存在的用户进行 Kerberos 暴力枚举 | 4771 或 4768 | TA0006-Credential Access | T1110.xxx-Brut force | 使用不存在用户进行 Kerberos 暴力破解 | 4771 或 4768 | TA0006-Credential Access | T1110.xxx-Brut force | 来自单一来源的不同不存在账户登录失败 | 33205 | TA0006-Credential Access | T1110.xxx-Brut force | 来自单一来源的不同不存在账户登录失败 | 4625 | TA0006-Credential Access | T1555.003-Credentials from Password Stores: Credentials from Web Browsers | 通过网络共享转储用户浏览器凭据 | 5145 | DonPapi, Lazagne TA0006-Credential Access | T1555.004-Windows Credential Manager | 通过网络共享转储受 DPAPI 保护的凭据 | 5145 | DonPapi, Lazagne TA0006-Credential Access | T1555.004-Windows Credential Manager | Vault 凭据被读取 | 5382 | TA0006-Credential Access | T1555.004-Windows Credential Manager | Vault 凭据被读取 | 800 或 4103 或 4104 | TA0006-Credential Access | T1555-Credentials from Password Stores | 通过网络共享转储 Azure AD Connect 凭据 | 5145 | AdConnectDump TA0006-Credential Access | T1555-Credentials from Password Stores | 可疑的 Active Directory DPAPI 属性被访问 | 4662 | TA0006-Credential Access | T1555-Credentials from Password Stores | 通过网络共享转储用户文件 | 5145 | DonPapi, Lazagne TA0006-Credential Access | T1557.001-MiM:LLMNR/NBT-NS Poisoning and SMB Relay | 通过命名管道发现打印后台处理程序漏洞滥用 | 5145 | TA0006-Credential Access | T1557.001-MiM:LLMNR/NBT-NS Poisoning and SMB Relay | 通过 PrivExchange 中继攻击模拟 Exchange 服务器 | 4624 | PrivExchange TA0006-Credential Access | T1558.001-Golden Ticket | 与潜在黄金票据相关的 Kerberos TGS 票据请求 | 4769 | Golden ticket TA0006-Credential Access | T1558.001-Golden Ticket | 使用伪造的黄金票据访问 SMB Admin 共享 | 5140 或 5145 | Golden ticket TA0006-Credential Access | T1558.001-Golden Ticket | 使用伪造的黄金票据成功模拟登录 | 4624 | Golden ticket TA0006-Credential Access | T1558.003-Kerberoasting | 检测到 KerberOAST 票据 (TGS) 请求 (低加密) | 4769 | Kerberoast TA0006-Credential Access | T1558.004-Steal or Forge Kerberos Tickets: AS-REP Roasting | 检测到 Kerberos AS-REP Roasting 票据请求 | 4768 | AS-REP Roasting TA0006-Credential Access | T1558-Steal or Forge Kerberos Tickets | 用于凭据转储的 Kerberos 密钥列表攻击 | 4769 | Kerberos key list TA0006-Credential Access | T1558-Steal or Forge Kerberos Tickets | 不带尾部 $ 的 Kerberos 票据 | 4768 或 4769 | CVE-2021-42278/42287 & SAM-the-admin TA0006-Credential Access | T1558-Steal or Forge Kerberos Tickets | 具有约束委派 (S4U2Proxy) 的可疑 Kerberos 票据 (TGS) | 4769 | TA0006-Credential Access | T1558-Steal or Forge Kerberos Tickets | 具有无约束委派的可疑 Kerberos 票据 (TGS) | 4769 | TA0006-Credential Access | T1558-Steal or Forge Kerberos Tickets | 可疑的 Kerberos 可代理票据 | 4768 | CVE-2021-42278/42287 & SAM-the-admin TA0007-Discovery | T1016-System Network Configuration Discovery | 防火墙配置枚举 (命令) | 1 或 4688 | TA0007-Discovery | T1016-System Network Configuration Discovery | 防火墙配置枚举 | 800 或 4103 或 4104 | TA0007-Discovery | T1016-System Network Configuration Discovery | 检测到来自非 DNS 服务器的区域传送尝试 | 6004 (DNSserver) | TA0007-Discovery | T1018-Remote System Discovery | 通过网络共享访问 DNS 主机文件 | 5145 | TA0007-Discovery | T1046-Network Service Scanning | 来自单一来源的多个匿名登录 | 4624 | TA0007-Discovery | T1046-Network Service Scanning | 在多台主机上执行 RDP 发现 | 131 | TA0007-Discovery | T1046-Network Service Scanning | 可疑的匿名登录 | 4624 | TA0007-Discovery | T1069.001-Discovery domain groups | 通过 RID 暴力破解进行本地域组枚举 | 4661 | CrackMapExec TA0007-Discovery | T1069.001-Discovery domain groups | 通过 Azure 虚拟机恢复工具进行本地组枚举。 | 4799 | TA0007-Discovery | T1069.001-Discovery local groups | 远程本地组枚举 | 4799 | SharpHound TA0007-Discovery | T1069.002-Discovery domain groups | 域组枚举 | 4661 | CrackMapExec TA0007-Discovery | T1069.002-Discovery domain groups | 蜜罐对象 (容器、计算机、组、用户) 被枚举 | 4662 | SharpHound TA0007-Discovery | T1069.002-Discovery domain groups | 大规模 SAM 域用户和组发现 | 4661 | TA0007-Discovery | T1069.002-Discovery domain groups | 敏感 SAM 域用户和组发现 | 4661 | TA0007-Discovery | T1069-Permission Groups Discovery | 通过命令行进行组发现 | 1 或 4688 | TA0007-Discovery | T1069-Permission Groups Discovery | 通过 PowerShell 进行组发现 | 800 或 4103 或 4104 | TA0007-Discovery | T1082-System Information Discovery | 审核策略设置收集 | 1 或 4688 | TA0007-Discovery | T1087.002-Domain Account discovery | 从非管理主机调用 Active Directory PowerShell 模块 | 600 | TA0007-Discovery | T1087.002-Domain Account discovery | 检测到单一来源通过 Kerberos 票据 (TGS) 执行主机枚举 | 4769 | SharpHound TA0007-Discovery | T1087-Account discovery | SPN 枚举 (命令) | 1 或 4688 | Kerberoast TA0007-Discovery | T1087-Account discovery | SPN 枚举 | 800 或 4103 或 4104 | TA0007-Discovery | T1087-Account discovery | 通过命令行进行用户枚举 | 1 或 4688 | TA0007-Discovery | T1135-Network Share Discovery | 主机通过 SMB 在不同主机上执行高级命名管道枚举 | 5145 | SharpHound TA0007-Discovery | T1135-Network Share Discovery | 通过命令行进行网络共享发现和/或连接 | 1 或 4688 | TA0007-Discovery | T1135-Network Share Discovery | 通过命令行进行网络共享操作 | 1 或 4688 | TA0007-Discovery | T1201-Password Policy Discovery | 域密码策略枚举 | 4661 | CrackMapExec TA0007-Discovery | T1201-Password Policy Discovery | 通过命令行进行密码策略发现 | 1 或 4688 | TA0007-Discovery | T1482-Domain Trust Discovery | 从非管理主机调用 Active Directory Forest PowerShell 类 | 800 或 4103 或 4104 | TA0007-Discovery | T1518-Software discovery | SQL Server 数据库表枚举 | 1 或 4688 | TA0008-Lateral Movement | T1021.001-Remote Desktop Protocol | 使用有效凭据的 RDP 登录被拒绝 | 4825 | TA0008-Lateral Movement | T1021.001-Remote Desktop Protocol | RDP BlueKeep 连接已关闭 | 148 | CVE-2019-0708 TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过 SMB 访问管理共享 (基础) | 5140 或 5145 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过 SMB 管理共享执行 Impacket WMIexec | 5145 | WMIexec TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过挂载网络共享进行横向移动 - net use (命令) | 4688 和 4648 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 主机上创建了新文件共享 | 5142 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 未完成的 SMB 请求数量增加 (命令) | 1 或 4688 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过 SMB 进行 Psexec 远程执行 | 5145 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过 SMB 远程创建服务 | 5145 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 通过 SMB 管理共享执行远程 shell | 5145 | TA0008-Lateral Movement | T1021.002-SMB Windows Admin Shares | 共享打印机创建 | 5142 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0008-Lateral Movement | T1021.003-DCOM | DCOM 横向移动 (通过 MMC20) | 4104 | TA0008-Lateral Movement | T1021.003-DCOM | DCOMexec 权限滥用 | 4674 | TA0008-Lateral Movement | T1021.003-DCOM | 通过 MMC 滥用 DCOMexec 进程 | 1 或 4688 | TA0008-Lateral Movement | T1021.004-Remote services: SSH | OpenSSH 原生服务器功能安装 | 800 或 4103 或 4104 | SSH server TA0008-Lateral Movement | T1021.004-Remote services: SSH | 检测到 OpenSSH Windows 服务器激活/配置 | 800 或 4103 或 4104 | SSH server TA0008-Lateral Movement | T1021.006-Windows Remote Management | WinRM 侦听服务侦察 | 4656 | TA0008-Lateral Movement | T1021.006-Windows Remote Management | 使用 WinRS 进行远程执行 | 1 或 4688 | TA0008-Lateral Movement | T1021-Remote Services | 蜜罐被用于横向移动 (失败) | 4625 | TA0008-Lateral Movement | T1021-Remote Services | 蜜罐被用于横向移动 (成功) | 4624 或 47** | TA0008-Lateral Movement | T1550.002-Use Alternate Authentication Material: Pass the Hash | 通过进程访问进行 LSASS 转储 | 10 | Mimikatz TA0008-Lateral Movement | T1550.002-Use Alternate Authentication Material: Pass the Hash | 哈希传递登录 | 4624 | Mimikatz TA0008-L Movement | T1563.002-RDP hijacking | 通过滥用 TSCON 命令进行 RDP 会话劫持 | 1 或 4688 | TA0009-Collection | T1125-Video capture | RDP 阴影会话已启动 (命令) | 1 或 4688 | TA0009-Collection | T1125-Video capture | RDP 阴影会话已启动 (原生) | 20503 或 04 或 08 | TA0009-Collection | T1125-Video capture | RDP 阴影会话已启动 (注册表) | 13 | TA0011-Command and control | | Winlogon 进程连接到 C2 (Blacklotus) | 3 | TA0011-Command and control | 1071.004- Application Layer Protocol: DNS | DoT 激活 (命令) | 1 或 4688 | TA0011-Command and control | 1071.004- Application Layer Protocol: DNS | DoT 激活 | 800 或 4103 或 4104 | TA0011-Command and control | T1090-Proxy | 代理配置已更改 | 5600 | TA0011-Command and control | T1572-Protocol tunneling | RDP 隧道配置已启用端口转发 | 1 或 4688 | TA0011-Command and control | T1572-Protocol tunneling | 检测到 RDP 隧道 | 1149 | TA0011-Command and control | T1572-Protocol tunneling | 通过 ngrok 检测到 RDP 隧道 | 21 或 25 或 1149 | TA0040-Impact | T1486-Data Encrypted for Impact | BitLocker 功能配置 (通过命令调用 Reg) | 1 或 4688 | TA0040-Impact | T1486-Data Encrypted for Impact | BitLocker 大规模功能激活 (原生) | 768 | TA0040-Impact | T1486-Data Encrypted for Impact | BitLocker 服务器功能激活 | 800 或 4103 或 4104 | TA0040-Impact | T1489-Service Stop | 大规模服务终止爆发 | 1 或 4688 | TA0040-Impact | T1490-Inhibit System Recovery | VSS 备份删除 | 800 或 4103 或 4104 | TA0040-Impact | T1490-Inhibit System Recovery | VSS 备份删除 (WMI) | 1 或 4688 | TA0040-Impact | T1490-Inhibit System Recovery | VSS 备份删除 | 1 或 4688 | TA0040-Impact | T1490-Inhibit System Recovery | Windows 原生备份删除 | 1 或 4688 | TA0040-Impact | T1490-Inhibit System Recovery | Windows 原生备份大小重新配置 | 1 或 4688 | TA0040-Impact | T1565-Data manipulation | DNS 主机文件已修改 | 11 |

标签：Active Directory, AMSI绕过, Cloudflare, Conpot, DNS 反向解析, DNS 解析, HTTP工具, IP 地址批量处理, MITRE ATT&CK, Mr. Robot, PE 加载器, Plaso, SIGMA规则, Sysmon, T1078, T1566, Web报告查看器, Windows安全, 凭证访问, 初始访问, 协议分析, 发现, 后渗透, 命令与控制, 威胁检测, 子域名变形, 子域枚举, 安全运营, 扫描框架, 插件系统, 搜索语句（dork）, 收集, 数据关联, 数据包嗅探, 数据渗出, 数据集, 无线安全, 有效账户, 权限提升, 横向移动, 流量嗅探, 私有化部署, 编程规范, 网络信息收集, 网络安全, 网络安全审计, 钓鱼, 防御规避, 隐私保护, 黄金证书