Basic Detection: Child Processes Spawned by WMI Provider Host
Basic query to detect any process spawned by WmiPrvSE.exe. Unexpected child process generation from the WMI Provider Host may indicate remote command execution or persistence. Ideal for SOC analysts starting with threat hunting in CrowdStrike Falcon.
EDRwmiprocess-creationdetectionwmi-abusebeginner-friendlyT1047
FDR Beginnerby darkreitor 1 min read
Query
#repo="base_sensor" event_simpleName=ProcessRollup2
| ParentBaseFileName="WmiPrvSE.exe"
| FileName!="WmiPrvSE.exe"
| groupBy([ComputerName, UserName, ParentBaseFileName, FileName, CommandLine], function=count(as=execCount))
| sort(execCount, order=desc)Explanation
| Pipe | Descripción |
|---|---|
#repo="base_sensor" event_simpleName=ProcessRollup2 | Filtra eventos de creación de procesos en el repositorio FDR — el evento más importante para hunting de procesos |
ParentBaseFileName="WmiPrvSE.exe" | Busca todos los procesos cuyo padre directo es el WMI Provider Service Host — cualquier proceso hijo merece revisión |
FileName!="WmiPrvSE.exe" | Excluye instancias adicionales del propio WmiPrvSE para evitar auto-referencias en los resultados |
groupBy([ComputerName, UserName, FileName, CommandLine], function=count(as=execCount)) | Agrupa por host, usuario, proceso hijo y línea de comandos para identificar patrones recurrentes |
sort(execCount, order=desc) | Muestra primero los procesos más frecuentes para facilitar la identificación de actividad anómala versus legítima |
Adjustable Variables
Para reducir ruido en entornos con gestión activa, agregar '| FileName!="mofcomp.exe"' (compilador MOF legítimo). En entornos corporativos, excluir servidores de administración: '| ComputerName!="NOMBRE-SERVIDOR"'. Sin umbral mínimo intencionalmente: cualquier ejecución inesperada desde WmiPrvSE merece revisión manual.