Azure
/
Azure-Sentinel
зеркало из
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Update CVE-2022-26134-Confluence.yaml

This commit is contained in:
Justin C 2022-06-10 15:48:38 -07:00 коммит произвёл GitHub
Родитель 1df1e4f31e
Коммит 02dc3a90be
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 5 добавлений и 5 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

10
Hunting Queries/Microsoft 365 Defender/Exploits/CVE-2022-26134-Confluence.yaml
Просмотреть файл

@ -16,8 +16,8 @@ tactics:
relevantTechniques: relevantTechniques:
- T1203 - T1203
query: | query: |
DeviceProcessEvents DeviceProcessEvents
| where InitiatingProcessFileName hasprefix "tomcat" and InitiatingProcessCommandLine has "confluence" | where InitiatingProcessFileName hasprefix "tomcat" and InitiatingProcessCommandLine has "confluence"
| where (ProcessCommandLine has_any("certutil", "whoami", "nltest", " dir ", "curl", "ifconfig", "cat ", "net user", | where (ProcessCommandLine has_any("certutil", "whoami", "nltest", " dir ", "curl", "ifconfig", "cat ", "net user",
"net time /domain","tasklist","-c ls","ipconfig","arp","ping","net view","net group","netstat", "wmic datafile")) "net time /domain","tasklist","-c ls","ipconfig","arp","ping","net view","net group","netstat", "wmic datafile"))
or (FileName =~ "powershell.exe" and ProcessCommandLine hasprefix "-e") or (FileName =~ "powershell.exe" and ProcessCommandLine hasprefix "-e")