Basic Windows Net Command Enumeration
Detects use of the net.exe command to enumerate users, groups, and shared resources, one of the most abused native Windows tools in Living-off-the-Land attacks according to multiple CISA and CrowdStrike reports
EDRnet-commandenumerationbeginnerwindowsT1087.001T1069.001T1135
FDR Beginnerby CQL Hub 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| FileName=/(?i)net1?\.exe/
| CommandLine=/(?i)net1?\s+(user|group|localgroup|share|view|session|accounts|use)\s/
| groupBy([ComputerName, UserName, CommandLine], function=[count(as=exec_count)])
| sort(exec_count, order=desc, limit=20)Explanation
| Pipe | Descripción | ||
|---|---|---|---|
#repo="base_sensor" #event_simpleName=ProcessRollup2 | Eventos de creacion de procesos de la telemetria FDR | ||
FileName=/(?i)net1?\.exe/ | Captura tanto net.exe como net1.exe que Windows usa internamente | ||
| `CommandLine=/(?i)net1?\s+(user\ | group\ | ...)\s/` | Filtra subcomandos de enumeracion de usuarios, grupos y recursos de red |
groupBy([ComputerName, UserName, CommandLine], ...) | Agrupa por host, usuario y comando para ver patrones | ||
sort(exec_count, order=desc, limit=20) | Prioriza por volumen de ejecucion |
Adjustable Variables
Se pueden agregar mas subcomandos como config, time, start. Filtrar UserName!=/(?i)(svc_|admin_)/ para excluir cuentas de servicio conocidas.