Azure
/
Azure-Sentinel
зеркало из
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Update RareProcessWithCmdLine.yaml

This commit is contained in:
juliango2100 2020-10-16 11:43:59 -07:00 коммит произвёл GitHub
Родитель 33fc378bee
Коммит 8d31998151
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 2 добавлений и 2 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

2
Hunting Queries/SecurityEvent/RareProcessWithCmdLine.yaml
Просмотреть файл

@ -21,7 +21,7 @@ query: |
SecurityEvent
| where TimeGenerated >= ago(30d)
| where EventID == 4688
| where isnotempty(CommandLine) and NewProcessName !endswith ":\\windows\\system32\\conhost.exe" and CommandLine !~ NewProcessName and CommandLine !~ strcat('\"',NewProcessName,'\"'," "))
| where isnotempty(CommandLine) and NewProcessName !endswith ":\\windows\\system32\\conhost.exe" and CommandLine !~ NewProcessName and CommandLine !~ strcat('\"',NewProcessName,'\"'," ")
| extend CommandLine=tolower(CommandLine)
| summarize FullCount = count()
, Count= countif(TimeGenerated between (v_StartTime .. v_EndTime))