本次将阐述T1505_003对应的ATT&CK大类中的持久性(persistence)类别,进一步归属于一级分类的服务器软件组件(Server Software Component)下的Web Shell子类别。

3、本次详细阐述如何利用Microsoft Defender来检测Webshell,并将相关的日志信息发送至SOC平台。


4、当Microsoft Defender检测到webshell的存在时,将触发防病毒告警机制。

5、会将日志记录到Microsoft-Windows-Windows Defender/Operational中,涉及两个事件ID,分别是1116和1006。

6、然而,本次操作仅触发了1116号日志的生成。


7、利用NXLog的im_msvistalog模块,我们可以直接从事件查看器中精准采集特定事件ID,以下是相关配置的详细步骤。

8、最终,SOC平台将接收到webshell的告警日志。

9、总结:

(1)、ATT&CK规则的数量越多,其覆盖的范围就越广泛,从而使得检测效果得到显著的提升。

(2)、免费和收费各有其独特的乐趣。虽然免费的项目有其吸引力,但收费的项目往往能提供更强大的体验。