Schedule system process

 1title: Schedule system process
 2status: experimental
 3description: Schedule system process
 4author: Joe Security
 5date: 2021-05-06
 6id: 200101
 7threatname:
 8behaviorgroup: 2
 9classification: 8
10mitreattack:
11
12logsource:
13    category: process_creation
14    product: windows
15detection:
16    selection:
17        CommandLine:
18            - '*schtasks /create*svchost*'
19            - '*schtasks /create*rundll32*'
20            - '*schtasks /create*powershell*'
21            - '*schtasks /create*regsvr32*'
22            - '*schtasks /create*spoolsv*'
23            - '*schtasks /create*lsass*'
24            - '*schtasks /create*smss*'
25            - '*schtasks /create*csrss*'
26            - '*schtasks /create*conhost*'
27            - '*schtasks /create*wininit*'
28            - '*schtasks /create*winlogon*'
29            - '*schtasks /create*taskhost*'
30            - '*schtasks /create*Taskmgr*'
31            - '*schtasks /create*RuntimeBroker*'
32            - '*schtasks /create*smartscreen*'
33            - '*schtasks /create*dllhost*'
34            - '*schtasks* /create*svchost*'
35            - '*schtasks* /create*rundll32*'
36            - '*schtasks* /create*powershell*'
37            - '*schtasks* /create*regsvr32*'
38            - '*schtasks* /create*spoolsv*'
39            - '*schtasks* /create*lsass*'
40            - '*schtasks* /create*smss*'
41            - '*schtasks* /create*csrss*'
42            - '*schtasks* /create*conhost*'
43            - '*schtasks* /create*wininit*'
44            - '*schtasks* /create*winlogon*'
45            - '*schtasks* /create*taskhost*'
46            - '*schtasks* /create*Taskmgr*'
47            - '*schtasks* /create*RuntimeBroker*'
48            - '*schtasks* /create*smartscreen*'
49            - '*schtasks* /create*dllhost*'
50    condition: selection
51level: critical