Back to hub

Network Share Enumeration

Detects mass network share enumeration via net view, net share, or similar tools indicative of lateral movement preparation.

Threat HuntingsofisticdiscoverymedioT1135sharesenumerationpowerviewT1135
FDR Beginnerby SOFISTIC SOC 1 min read

Query

#event_simpleName=ProcessRollup2 CommandLine=/(net\s+view|net\s+share|Invoke-ShareFinder|Get-NetShare|Get-DFSshare)/i | groupBy([ComputerName, UserName, CommandLine], function=count()) | _count > 5 | sort(_count, limit=20)

Explanation

  • net view lista equipos y recursos compartidos del dominio; net share muestra shares locales.
  • Invoke-ShareFinder, Get-NetShare, Get-DFSshare son funciones de PowerView (post-explotación).
  • La aparición de funciones PowerView es altamente sospechosa en cualquier contexto.
  • Umbral 5 da margen a administradores que usan net view legítimamente.

Adjustable Variables

  • Umbral `_count > 5`: Para PowerView (Invoke-ShareFinder), reduce a 1; no tiene uso legítimo.
  • Combinar con: Alertas de acceso a shares administrativos (ADMIN$, C$) para correlacionar la fase siguiente.
  • Añadir: Find-DomainShare (alternativa PowerView) y SharpShares (C# equivalente).