kqlElastic-2.0from elastic/detection-rules
Enumeration of Privileged Local Groups Membership
Quality
92
FP risk
—
Forks
0
Views
0
Rule sourcerules/windows/discovery_privileged_localgroup_membership.toml
host.os.type:windows and event.category:iam and event.action:user-member-enumerated and
(
group.name:(*Admin* or "RemoteDesktopUsers") or
winlog.event_data.TargetSid:("S-1-5-32-544" or "S-1-5-32-555")
) and
not (
winlog.event_data.SubjectUserName: *$ or
winlog.event_data.SubjectUserSid: ("S-1-5-19" or "S-1-5-20") or
winlog.event_data.CallerProcessName:("-" or
C\:\\Windows\\System32\\VSSVC.exe or
C\:\\Windows\\System32\\SearchIndexer.exe or
C\:\\Windows\\System32\\CompatTelRunner.exe or
C\:\\Windows\\System32\\oobe\\msoobe.exe or
C\:\\Windows\\System32\\net1.exe or
C\:\\Windows\\System32\\svchost.exe or
C\:\\Windows\\System32\\Netplwiz.exe or
C\:\\Windows\\System32\\msiexec.exe or
C\:\\Windows\\System32\\CloudExperienceHostBroker.exe or
C\:\\Windows\\System32\\RuntimeBroker.exe or
C\:\\Windows\\System32\\wbem\\WmiPrvSE.exe or
C\:\\Windows\\System32\\SrTasks.exe or
C\:\\Windows\\System32\\diskshadow.exe or
C\:\\Windows\\System32\\dfsrs.exe or
C\:\\Windows\\System32\\vssadmin.exe or
C\:\\Windows\\System32\\dllhost.exe or
C\:\\Windows\\System32\\mmc.exe or
C\:\\Windows\\System32\\SettingSyncHost.exe or
C\:\\Windows\\System32\\inetsrv\\w3wp.exe or
C\:\\Windows\\System32\\wsmprovhost.exe or
C\:\\Windows\\System32\\mstsc.exe or
C\:\\Windows\\System32\\esentutl.exe or
C\:\\Windows\\System32\\RecoveryDrive.exe or
C\:\\Windows\\System32\\SystemPropertiesComputerName.exe or
C\:\\Windows\\SysWOW64\\msiexec.exe or
C\:\\Windows\\System32\\taskhostw.exe or
C\:\\Windows\\ImmersiveControlPanel\\SystemSettings.exe or
C\:\\Windows\\Temp\\rubrik_vmware*\\snaptool.exe or
C\:\\Windows\\VeeamVssSupport\\VeeamGuestHelper.exe or
C\:\\WindowsAzure\\*WaAppAgent.exe or
C\:\\$WINDOWS.~BT\\Sources\\*.exe
)
)