コンテンツにスキップ

T1046 Network Service Scanning

T1046

必要なテーブル

  • process_events

戻りフィールド

フィールド 説明
username プロセスイベントを作成したユーザーのユーザー名
path プロセスイベントのパス
arguments プロセスイベントの引数

クエリ

SELECT
    username,
    path,
    arguments
FROM process_events
WHERE reverse(split_part(reverse(path), '/', 1)) IN (
    'telnet',
    'nc',
    'nmap',
    'nping'
)
ORDER BY unix_nano_timestamp