Reconnaissance Commands Burst

Detects bursts of reconnaissance commands (whoami, net, ipconfig, systeminfo, nltest) from a single process — a post-exploitation indicator.

Threat HuntingsofisticdiscoverymedioT1087reconenumerationT1087

FDR Beginnerby SOFISTIC SOC 1 min read

Query

#event_simpleName=ProcessRollup2 FileName=/(whoami|net|net1|ipconfig|systeminfo|nltest|dsquery|cmdkey|klist|nslookup)\.exe/i | groupBy([ComputerName, UserName], function=count()) | _count > 15 | sort(_count, limit=20)

Explanation

▸Detecta ejecución masiva de herramientas nativas de reconocimiento Windows desde un mismo equipo/usuario.
▸whoami, ipconfig, systeminfo mapean el host; net/nltest/dsquery mapean el dominio.
▸klist revela tickets Kerberos activos; cmdkey enumera credenciales almacenadas.
▸Umbral 15 en 24h captura ráfagas post-compromiso de reconocimiento sistemático.

Adjustable Variables

▸Umbral `_count > 15`: Reduce a 8-10 para entornos con bajo uso administrativo legítimo.
▸Ventana de tiempo: Acorta a 1h para detectar ráfagas de reconocimiento inmediatas post-compromiso.
▸Añadir herramientas: arp.exe, route.exe, netstat.exe para cubrir reconocimiento de red local.