داشبورد دانش تهدید

Windows Command and Scripting Interpreter Execution

اجرای مفسر اسکریپت و فرمان ویندوز

شناسایی اجرای مفسرهای اسکریپتی (مانند CMD یا PowerShell) برای اجرای کدهای مخرب.

MITRE: ExecutionEndpoint

Windows Java Spawning Shells

اجرای شل توسط جاوا

شناسایی فرآیندهای جاوا که cmd یا powershell اجرا می‌کنند (نشانه آسیب‌پذیری RCE).

MITRE: ExecutionServer / Endpoint

Windows Execute Arbitrary Commands with MSDT

اجرای دستورات مخرب با MSDT

بهره‌برداری از آسیب‌پذیری Follina با استفاده از پروتکل ms-msdt.

MITRE: ExecutionEndpoint

Windows RDP File Execution

اجرای فایل RDP

شناسایی اجرای فایل‌های پیکربندی RDP مشکوک که ممکن است برای اتصال به سرور مهاجم استفاده شوند.

MITRE: ExecutionEndpoint

Detect Use of cmd exe to Launch Script Interpreters Rule

اجرای مفسر اسکریپت با CMD

استفاده از cmd برای اجرای cscript یا wscript به صورت مشکوک.

MITRE: ExecutionEndpoint

Any Powershell DownloadString

استفاده از DownloadString در پاورشل

شناسایی دستورات پاورشل که اقدام به دانلود محتوا از اینترنت می‌کنند.

MITRE: ExecutionEndpoint

Wscript Or Cscript Suspicious Child Process

فرآیند فرزند مشکوک Wscript/Cscript

اجرای ابزارهای سیستمی توسط اسکریپت‌های VBS یا JS.

MITRE: ExecutionEndpoint

WinRAR Spawning Shell Application

اجرای شل توسط WinRAR

اجرای cmd یا powershell توسط WinRAR (نشانگر فایل آرشیو مخرب).

MITRE: ExecutionEndpoint

Living Off The Land Detection

تشخیص حملات Living Off The Land

شناسایی زنجیره‌ای از استفاده‌های مشکوک از ابزارهای سیستمی.

MITRE: ExecutionEndpoint

Process Execution via WMI

اجرای فرآیند از طریق WMI

اجرای دستورات توسط سرویس WmiPrvSE.

MITRE: ExecutionEndpoint

Windows ConHost with Headless Argument

اجرای ConHost با آرگومان Headless

اجرای conhost.exe با سوییچ --headless که رفتار مشکوکی است.

MITRE: ExecutionEndpoint

Endpoint Anomalous New Processes Rule

فرآیندهای جدید مشکوک

شناسایی فرآیندهایی که برای اولین بار در محیط دیده شده‌اند.

MITRE: ExecutionEndpoint

Schtasks Run Task On Demand

اجرای دستی وظیفه زمان‌بندی شده

استفاده از schtasks /run برای اجرای فوری یک وظیفه.

MITRE: ExecutionEndpoint

Attacker Tools On Endpoint Rule

ابزارهای مهاجم در اندپوینت

شناسایی وجود ابزارهای هک و نفوذ شناخته شده روی سیستم.

MITRE: ExecutionEndpoint

WinEvent Scheduled Task Created to Spawn Shell

ایجاد وظیفه زمان‌بندی شده برای اجرای شل

شناسایی ایجاد وظیفه زمان‌بندی شده که حاوی دستورات اجرای شل (مثل PowerShell یا CMD) است.

MITRE: PersistenceEndpoint

Windows Registry Payload Injection

تزریق پی‌لود در رجیستری

ذخیره کدهای مخرب باینری یا اسکریپت درون کلیدهای رجیستری.

MITRE: PersistenceEndpoint

Windows MOF Event Triggered Execution via WMI

اجرای مبتنی بر رویداد MOF از طریق WMI

استفاده از WMI Event Subscription برای اجرای کد و حفظ پایداری.

MITRE: PersistenceEndpoint

Reg exe Manipulating Windows Services Registry

دستکاری سرویس‌های ویندوز با Reg.exe

تغییر تنظیمات سرویس‌ها از طریق دستور reg برای تغییر مسیر فایل اجرایی سرویس.

MITRE: PersistenceEndpoint

Windows Increase in User Modification Activity

افزایش فعالیت تغییر کاربر

شناسایی تغییرات متعدد و ناگهانی روی حساب‌های کاربری در مدت کوتاه.

MITRE: PersistenceIdentity

Short Lived Windows Accounts

حساب‌های کاربری کوتاه‌مدت

ایجاد و حذف سریع یک حساب کاربری که معمولاً برای انجام کارهای مخرب موقت استفاده می‌شود.

MITRE: PersistenceIdentity

Registry Keys Used For Persistence

کلیدهای رجیستری برای تداوم دسترسی

تغییر در کلیدهای Run و RunOnce برای اجرای خودکار بدافزار.

MITRE: PersistenceEndpoint

Windows Registry Modification for Safe Mode Persistence

تغییر رجیستری برای Safe Mode Persistence

دستکاری تنظیمات برای اجرای بدافزار در حالت Safe Mode.

MITRE: PersistenceEndpoint

Windows AD Self DACL Assignment

اعطای دسترسی DACL به خود در AD

تغییر مجوزهای اکتیو دایرکتوری توسط کاربر برای خودش.

MITRE: PersistenceActive Directory

Detect New Local Admin Account

ساخت حساب ادمین محلی جدید

ایجاد حساب کاربری جدید و افزودن آن به گروه Administrators.

MITRE: PersistenceEndpoint

Overwriting Accessibility Binaries

بازنویسی ابزارهای دسترسی‌پذیری

جایگزینی فایل‌هایی مثل sethc.exe با cmd.exe (تکنیک Sticky Keys).

MITRE: PersistenceEndpoint

Endpoint Anomalous New Services Rule

سرویس‌های جدید مشکوک

شناسایی سرویس‌های سیستمی که برای اولین بار ایجاد شده‌اند.

MITRE: PersistenceEndpoint

Process Creating LNK file in Suspicious Location

ایجاد فایل LNK در مسیر مشکوک

ایجاد شورتکات در پوشه‌های Temp یا Startup.

MITRE: PersistenceEndpoint

Batch File Write to System32

نوشتن فایل دسته‌ای در System32

ایجاد فایل bat در پوشه سیستم توسط کاربر غیر مجاز.

MITRE: PersistenceEndpoint

Scheduled Task Deleted Or Created via CMD Rule

ایجاد/حذف وظیفه زمان‌بندی شده با CMD

مدیریت وظایف از طریق خط فرمان.

MITRE: PersistenceEndpoint

Windows Scheduled Task Created Via XML

ایجاد وظیفه زمان‌بندی شده با XML

وارد کردن تنظیمات Task از یک فایل XML.

MITRE: PersistenceEndpoint

Windows Scheduled Task with Suspicious Command

وظیفه زمان‌بندی شده با دستور مشکوک

ایجاد وظیفه‌ای که دستورات مخرب یا مشکوک اجرا می‌کند.

MITRE: PersistenceEndpoint

WinEvent Scheduled Task Created Within Public Path

وظیفه زمان‌بندی شده در مسیر عمومی

ایجاد Task که فایل اجرایی آن در پوشه‌های عمومی قرار دارد.

MITRE: PersistenceEndpoint

Windows Computer Account Created by Computer Account

ایجاد حساب کامپیوتری توسط کامپیوتر دیگر

ساخت حساب جدید توسط یک حساب ماشین (رفتار غیرعادی).

MITRE: PersistenceActive Directory

Windows Increase in Group or Object Modification Activity

افزایش ناگهانی تغییرات در اکتیو دایرکتوری

تغییرات حجیم و ناگهانی در گروه‌ها یا اشیاء AD.

MITRE: PersistenceActive Directory

Windows UAC Bypass Suspicious Escalation Behavior

رفتار مشکوک دور زدن UAC

شناسایی تکنیک‌های شناخته شده برای دور زدن کنترل حساب کاربری (UAC) و ارتقای دسترسی.

MITRE: Privilege EscalationEndpoint

Windows Domain Admin Impersonation Indicator

شاخص جعل هویت ادمین دامین

شناسایی تلاش برای استفاده از توکن‌ها یا اعتبارنامه‌های ادمین دامین به صورت غیرمجاز.

MITRE: Privilege EscalationActive Directory

Spoolsv Writing a DLL

نوشتن فایل DLL توسط Spoolsv

شناسایی سرویس پرینتر که فایل DLL می‌نویسد (نشانه آسیب‌پذیری PrintNightmare).

MITRE: Privilege EscalationServer / Endpoint

Child Processes of Spoolsv exe

فرآیندهای فرزند Spoolsv.exe

شناسایی اجرای دستورات شل (cmd/powershell) توسط سرویس پرینتر.

MITRE: Privilege EscalationServer / Endpoint

Windows Privilege Escalation Suspicious Process Elevation

ارتقای دسترسی مشکوک فرآیندها

شناسایی فرآیندهایی که سطح دسترسی (Integrity Level) خود را به صورت ناگهانی ارتقا می‌دهند.

MITRE: Privilege EscalationEndpoint

Windows Privilege Escalation User Process Spawn System Process

اجرای فرآیند سیستمی توسط کاربر

شناسایی فرآیندهای کاربری که فرآیندهایی با سطح دسترسی SYSTEM ایجاد می‌کنند.

MITRE: Privilege EscalationEndpoint

Registry Keys Used For Privilege Escalation

ارتقای دسترسی با کلیدهای رجیستری (IFEO)

سوءاستفاده از Image File Execution Options برای اجرای بدافزار.

MITRE: Privilege EscalationEndpoint

Windows Computer Account With SPN

حساب کامپیوتری با SPN مشکوک

حساب‌های کامپیوتری جعلی با SPNهای حساس (noPac).

MITRE: Privilege EscalationActive Directory

Windows Domain Admin Impersonation Indicator Rule

جعل هویت ادمین دامین

شناسایی تلاش برای جعل هویت مدیران دامین در شبکه.

MITRE: Privilege EscalationActive Directory

Detect Path Interception By Creation Of program exe

رهگیری مسیر با فایل Program.exe

سوءاستفاده از آسیب‌پذیری Unquoted Service Path.

MITRE: Privilege EscalationEndpoint

Windows Schtasks Create Run As System

ایجاد وظیفه زمان‌بندی شده با دسترسی SYSTEM

ایجاد Task با دسترسی سیستمی برای تداوم یا ارتقای دسترسی.

MITRE: Privilege EscalationEndpoint

Windows Scheduled Task with Highest Privileges

وظیفه زمان‌بندی شده با بالاترین دسترسی

ایجاد Task با سطح دسترسی Highest.

MITRE: Privilege EscalationEndpoint

Windows UAC Bypass Suspicious Child Process

فرآیند فرزند مشکوک برای دور زدن UAC

شناسایی فرآیندهایی که پس از دور زدن UAC ایجاد می‌شوند.

MITRE: Privilege EscalationEndpoint

Detect mshta inline hta execution

اجرای کد Inline HTA با Mshta

شناسایی اجرای کدهای HTA جاسازی شده در خط فرمان mshta.exe.

MITRE: Defense EvasionEndpoint

Suspicious mshta child process

فرآیند فرزند مشکوک Mshta

اجرای فرآیندهای مشکوک (مثل cmd/powershell) توسط mshta.exe.

MITRE: Defense EvasionEndpoint

Detect MSHTA Url in Command Line - Rule

آدرس URL در خط فرمان Mshta

شناسایی استفاده از mshta برای دانلود و اجرای محتوا از یک URL راه دور.

MITRE: Defense EvasionEndpoint

Windows InstallUtil in Non Standard Path

اجرای InstallUtil از مسیر غیر استاندارد

اجرای باینری InstallUtil از مسیرهایی غیر از پوشه فریم‌ورک دات‌نت.

MITRE: Defense EvasionEndpoint

Windows Regsvr32 Renamed Binary

فایل باینری تغییر نام یافته Regsvr32

شناسایی استفاده از regsvr32.exe با نامی متفاوت برای مخفی کردن فعالیت.

MITRE: Defense EvasionEndpoint

Windows MSIExec Unregister DLLRegisterServer

لغو ثبت DLL با MSIExec

استفاده از msiexec /z برای لغو ثبت DLL که ممکن است برای پاکسازی استفاده شود.

MITRE: Defense EvasionEndpoint

Disabling Remote User Account Control

غیرفعال‌سازی UAC راه دور

تغییر کلید رجیستری LocalAccountTokenFilterPolicy برای دور زدن محدودیت‌های UAC.

MITRE: Defense EvasionEndpoint

Prevent Automatic Repair Mode using Bcdedit

جلوگیری از تعمیر خودکار با Bcdedit

غیرفعال کردن ریکاوری ویندوز که توسط باج‌افزارها استفاده می‌شود.

MITRE: Defense EvasionEndpoint

Detect Regasm with no Command Line Arguments

اجرای Regasm بدون آرگومان

اجرای regasm.exe بدون پارامتر که ممکن است نشانه Process Hollowing باشد.

MITRE: Defense EvasionEndpoint

Windows Important Audit Policy Disabled

غیرفعال‌سازی سیاست‌های مهم ممیزی

تلاش برای توقف ثبت لاگ‌های امنیتی ویندوز توسط مهاجم.

MITRE: Defense EvasionEndpoint

Windows Service Stop By Deletion

توقف سرویس با حذف (SC Delete)

شناسایی حذف سرویس‌های سیستمی یا امنیتی با استفاده از ابزار sc.exe.

MITRE: Defense EvasionEndpoint

Windows Event Log Cleared

پاک کردن لاگ‌های رویداد ویندوز

شناسایی پاکسازی دستی لاگ‌های Security یا System برای پنهان کردن ردپا.

MITRE: Defense EvasionEndpoint

Disable Defender AntiVirus Registry

غیرفعال‌سازی ویندوز دفندر (رجیستری)

تغییرات رجیستری که منجر به غیرفعال شدن آنتی‌ویروس دفندر می‌شود.

MITRE: Defense EvasionEndpoint

Windows DisableAntiSpyware Registry

تغییر کلید DisableAntiSpyware

شناسایی تلاش برای غیرفعال کردن سرویس‌های ضدجاسوسی ویندوز از طریق رجیستری.

MITRE: Defense EvasionEndpoint

Windows Disable Windows Event Logging Disable HTTP Logging

غیرفعال‌سازی لاگ‌گیری HTTP در IIS

شناسایی دستوراتی که لاگ‌گیری وب‌سرور IIS را متوقف می‌کنند تا حملات وب ثبت نشود.

MITRE: Defense EvasionServer

Add or Set Windows Defender Exclusion

افزودن استثنا به ویندوز دفندر

شناسایی دستوراتی که مسیرها یا فایل‌هایی را از اسکن آنتی‌ویروس مستثنی می‌کنند.

MITRE: Defense EvasionEndpoint

Suspicious Rundll32 no Command Line Arguments

اجرای Rundll32 بدون آرگومان

اجرای rundll32 بدون پارامتر (نشانه Process Hollowing).

MITRE: Defense EvasionEndpoint

Malicious PowerShell Process With Obfuscation Techniques

پاورشل مخرب با تکنیک‌های مبهم‌سازی

استفاده از کاراکترهای مبهم‌ساز در دستورات پاورشل.

MITRE: Defense EvasionEndpoint

Svchost LOLBAS Execution Process Spawn

اجرای LOLBAS توسط Svchost

شناسایی سرویس‌های سیستمی که ابزارهای LOLBAS را اجرا می‌کنند.

MITRE: Defense EvasionEndpoint

Mmc LOLBAS Execution Process Spawn

اجرای LOLBAS توسط MMC

سوءاستفاده از کنسول مدیریتی برای اجرای ابزارهای جانبی.

MITRE: Defense EvasionEndpoint

Windows LOLBAS Executed As Renamed File

اجرای LOLBAS با نام تغییر یافته

شناسایی ابزارهای سیستمی که نام فایل آن‌ها تغییر داده شده است.

MITRE: Defense EvasionEndpoint

Detect Rundll32 Application Control Bypass setupapi

دور زدن کنترل برنامه با Rundll32 Setupapi

استفاده از setupapi.dll برای اجرای کد و دور زدن لیست سفید.

MITRE: Defense EvasionEndpoint

Windows Credentials from Password Stores Deletion

حذف اعتبارنامه‌های ویندوز

استفاده از cmdkey برای حذف پسوردهای ذخیره شده.

MITRE: Defense EvasionEndpoint

Hiding Files And Directories With Attrib exe Rule

مخفی کردن فایل‌ها با Attrib.exe

استفاده از دستور attrib برای مخفی کردن فایل‌ها.

MITRE: Defense EvasionEndpoint

Notepad with no Command Line Arguments

اجرای Notepad بدون آرگومان

اجرای Notepad خالی که ممکن است نشانه تزریق کد باشد.

MITRE: Defense EvasionEndpoint

Windows MSIExec DLLRegisterServer

ثبت DLL با MSIExec

استفاده از سوییچ /y برای ثبت فایل‌های DLL.

MITRE: Defense EvasionEndpoint

Windows DotNet Binary in Non Standard Path

فایل باینری دات‌نت در مسیر غیر استاندارد

اجرای ابزارهای .NET از مسیرهای کاربر یا موقت.

MITRE: Defense EvasionEndpoint

Windows File Without Extension In Critical Folder

فایل بدون پسوند در پوشه حیاتی

ایجاد فایل بدون پسوند در پوشه drivers (مشخصه برخی Wiper‌ها).

MITRE: Defense EvasionEndpoint

Windows InstallUtil Uninstall Option

اجرای کد با InstallUtil (سوییچ Uninstall)

استفاده از InstallUtil /u برای اجرای کدهای مخرب.

MITRE: Defense EvasionEndpoint

Disable Schedule Task

غیرفعال‌سازی وظیفه زمان‌بندی شده

غیرفعال کردن وظایف سیستمی یا امنیتی.

MITRE: Defense EvasionEndpoint

Attempt To Add Certificate To Untrusted Store

افزودن گواهی به مخزن نامعتبر

تلاش برای اضافه کردن گواهی به لیست Untrusted certificates.

MITRE: Defense EvasionEndpoint

Suspicious Writes To Windows Recycle Bin

نوشتن مشکوک در سطل بازیافت

نوشتن یا ایجاد فایل توسط فرآیندهای غیر از Explorer در سطل بازیافت.

MITRE: Defense EvasionEndpoint

Windows Files and Dirs Access Rights Modification Via Icacls

تغییر دسترسی فایل‌ها با Icacls

تغییر مجوز فایل‌ها و پوشه‌ها توسط دستور icacls.

MITRE: Defense EvasionEndpoint

Msmpeng Application DLL Side Loading Rule

بارگذاری جانبی DLL در Msmpeng

تلاش برای اجرای کد از طریق فرآیند آنتی‌ویروس ویندوز.

MITRE: Defense EvasionEndpoint

Windows Process Injection In Non-Service Session

تزریق فرآیند در نشست غیر سرویس

شناسایی تزریق کد به فرآیندهای سیستمی که در نشست کاربر اجرا نمی‌شوند.

MITRE: Defense EvasionEndpoint

Windows Local Administrator Credential Stuffing

تلاش برای ورود با ادمین محلی

حملات Credential Stuffing روی حساب Administrator محلی.

MITRE: Credential AccessIdentity

Kerberoasting SPN Request With RC4 Encryption

درخواست Kerberoasting با RC4

شناسایی درخواست‌های تیکت سرویس با رمزنگاری ضعیف جهت کرک کردن پسورد.

MITRE: Credential AccessActive Directory

Kerberos Service Ticket Request Using RC4 Encryption

درخواست تیکت سرویس با RC4

شناسایی درخواست‌های TGS با رمزنگاری RC4 (نشانه‌ای از حمله Kerberoasting یا Downgrade).

MITRE: Credential AccessActive Directory

PetitPotam Suspicious Kerberos TGT Request

درخواست TGT مشکوک (PetitPotam)

شناسایی درخواست‌های TGT که از گواهی‌های جعلی ناشی از حمله PetitPotam استفاده می‌کنند.

MITRE: Credential AccessActive Directory

Windows Local Administrator Credential Stuffing

تلاش برای ورود با ادمین محلی

حملات Credential Stuffing روی حساب Administrator محلی.

MITRE: Credential AccessIdentity

Windows Multiple Users Fail To Authenticate Wth ExplicitCredentials

شکست احراز هویت انبوه کاربران

تلاش ناموفق برای ورود با اعتبارنامه‌های صریح برای چندین کاربر.

MITRE: Credential AccessIdentity

Excessive Failed Logins Rule

شکست‌های بیش از حد در ورود

تلاش‌های مکرر و ناموفق برای ورود به سیستم (Brute Force).

MITRE: Credential AccessIdentity

Domain Controller Discovery with Nltest

کشف کنترل‌کننده دامنه با Nltest

استفاده از ابزار nltest برای شناسایی دامین کنترلرها در شبکه.

MITRE: DiscoveryNetwork

Windows AdFind Exe

اجرای ابزار AdFind

استفاده از ابزار AdFind برای جمع‌آوری اطلاعات اکتیو دایرکتوری.

MITRE: DiscoveryActive Directory

Excessive DNS Failures Rule

خطاهای بیش از حد DNS

تعداد زیاد درخواست‌های DNS ناموفق که می‌تواند نشانه اسکن شبکه باشد.

MITRE: DiscoveryNetwork

Windows MSIExec Spawn Discovery Command

اجرای دستور اکتشاف با MSIExec

استفاده از msiexec برای اجرای دستوراتی مثل nltest یا net جهت جمع‌آوری اطلاعات.

MITRE: DiscoveryEndpoint

Windows Service Creation on Remote Endpoint

ایجاد سرویس در اندپوینت راه دور

ایجاد سرویس روی سیستم دیگر در شبکه برای اجرای کد (تکنیک رایج حرکت جانبی).

MITRE: Lateral MovementNetwork

Possible Lateral Movement PowerShell Spawn

اجرای مشکوک PowerShell برای حرکت جانبی

شناسایی اجرای پاورشل که از فرآیندهای مشکوک یا تحت شبکه نشات گرفته است.

MITRE: Lateral MovementEndpoint

Windows Administrative Shares Accessed On Remote System

دسترسی به اشتراک‌های مدیریتی راه دور

دسترسی به Admin$ یا C$ روی سیستم‌های دیگر شبکه.

MITRE: Lateral MovementNetwork

Windows Process With NetExec Command Line Parameters

اجرای ابزار NetExec

شناسایی استفاده از ابزار NetExec برای تست نفوذ و حرکت جانبی در شبکه.

MITRE: Lateral MovementEndpoint

Windows Rapid Authentication On Multiple Hosts

احراز هویت سریع روی چندین میزبان

لاگین سریع کاربر به تعداد زیادی سیستم (حرکت جانبی).

MITRE: Lateral MovementIdentity

Windows Special Privileged Logon On Multiple Hosts

لاگین با دسترسی ویژه در چندین میزبان

ورود یک کاربر با دسترسی ویژه به تعداد زیادی سیستم در زمان کوتاه.

MITRE: Lateral MovementIdentity

Executable File Written in Administrative SMB Share Rule

نوشتن فایل اجرایی در اشتراک SMB ادمین

کپی کردن فایل exe در مسیرهای اشتراکی Admin$ یا C$.

MITRE: Lateral MovementNetwork / Server

Windows Replication Through Removable Media

انتشار از طریق رسانه قابل حمل

ایجاد فایل اجرایی در ریشه درایوهای USB.

MITRE: Lateral MovementEndpoint

Windows Curl Upload to Remote Destination

آپلود فایل با Curl به مقصد راه دور

استفاده از ابزار curl برای ارسال فایل به سرور خارج از سازمان (استخراج داده).

MITRE: ExfiltrationEndpoint

Excessive DNS Queries

درخواست‌های DNS بیش از حد

حجم غیرعادی درخواست‌های DNS که می‌تواند نشانه تونل زدن DNS یا C2 باشد.

MITRE: Command and ControlNetwork

LOLBAS With Network Traffic

ابزارهای LOLBAS با ترافیک شبکه

اتصال ابزارهای سیستمی مانند certutil به اینترنت.

MITRE: Command and ControlNetwork / Endpoint

Windows MSIExec Remote Download

دانلود از راه دور با MSIExec

استفاده از msiexec برای دانلود و نصب فایل MSI از آدرس اینترنتی.

MITRE: Command and ControlEndpoint

Windows Rundll32 WebDAV Request

درخواست WebDAV با Rundll32

اتصال rundll32 به شیرهای WebDAV اینترنتی.

MITRE: Command and ControlEndpoint

Detect hosts connecting to dynamic domain providers Rule

اتصال به دامنه‌های Dynamic DNS

شناسایی ارتباط با دامنه‌های داینامیک که اغلب توسط C2ها استفاده می‌شود.

MITRE: Command and ControlNetwork

Outbound Network Connection from Java Using Default Ports

اتصال خروجی جاوا با پورت‌های پیش‌فرض

شناسایی ترافیک خروجی جاوا روی پورت‌های LDAP/RMI (نشانه Log4j).

MITRE: Command and ControlServer

Windows InstallUtil Uninstall Option with Network

اجرای InstallUtil همراه با شبکه

استفاده از InstallUtil برای اجرای کد و اتصال به شبکه.

MITRE: Command and ControlEndpoint

DNS Exfiltration Using Nslookup App

استخراج داده با Nslookup

استفاده از ابزار Nslookup برای ارسال داده‌ها از طریق پروتکل DNS.

MITRE: ExfiltrationNetwork

Detect Outbound SMB Traffic

شناسایی ترافیک خروجی SMB

اتصال SMB از شبکه داخلی به اینترنت (خطر نشت اطلاعات).

MITRE: ExfiltrationNetwork

Windows Excessive Service Stop Attempt

تلاش بیش از حد برای توقف سرویس

تلاش مکرر برای متوقف کردن سرویس‌ها که می‌تواند نشانه تخریب یا غیرفعال‌سازی امنیتی باشد.

MITRE: ImpactEndpoint

Windows Default Group Policy Object Modified

تغییر GPO پیش‌فرض ویندوز

تغییرات روی سیاست‌های گروهی پیش‌فرض دامنه که بر کل شبکه اثر می‌گذارد.

MITRE: Defense EvasionActive Directory

Windows Snake Malware File Modification Crmlog

تغییر فایل Crmlog توسط باج‌افزار Snake

شناسایی ایجاد فایل‌های Crmlog در پوشه Registration که نشانگر قطعی باج‌افزار است.

MITRE: ImpactEndpoint (ICS)

Common Ransomware Extensions

پسوندهای رایج باج‌افزار

شناسایی تغییر نام انبوه فایل‌ها به پسوندهای شناخته شده باج‌افزارها.

MITRE: ImpactEndpoint

Recursive Delete of Directory In Batch CMD

حذف بازگشتی دایرکتوری با CMD

استفاده از دستور rd /s /q برای حذف انبوه فایل‌ها.

MITRE: ImpactEndpoint

Endpoint High Or Critical Priority Host With Malware

میزبان حیاتی دارای بدافزار

شناسایی آلودگی بدافزاری روی سرورها یا سیستم‌های با اولویت بالا.

Malware InfectionServer

Endpoint Host With Multiple Infections

میزبان با چندین آلودگی بدافزاری

شناسایی سیستم‌هایی که به چندین نوع بدافزار مختلف آلوده شده‌اند.

Malware InfectionEndpoint

Endpoint Old Malware Infection

عفونت بدافزاری قدیمی

شناسایی سیستم‌هایی که آلودگی بدافزاری آن‌ها برای مدت طولانی باقی مانده است.

Malware InfectionEndpoint

Malicious IP as src

آی‌پی مخرب به عنوان مبدأ

ترافیک ورودی از آدرس‌های IP شناخته شده مخرب.

Threat IntelNetwork

Threat Activity Detected

شناسایی فعالیت تهدیدآمیز

شناسایی الگوهای حمله بر اساس فیدهای هوش تهدید.

Threat IntelNetwork

Network Policy Or Configuration Change

تغییر در سیاست یا پیکربندی شبکه

شناسایی تغییرات در تنظیمات تجهیزات شبکه.

MITRE: Network ChangeNetwork

Same Error On Many Systems

خطای مشابه در چندین سیستم

شناسایی رخداد یک خطای خاص به صورت همزمان روی تعداد زیادی از سیستم‌ها.

ImpactEndpoint

Host With Multiple Infections

میزبان با چندین عفونت بدافزاری

شناسایی میزبان‌هایی که به چندین نوع مختلف بدافزار آلوده شده‌اند.

Malware InfectionEndpoint