Функциональность доступна на компьютерах, работающих под управлением операционных систем Windows 7 и выше или Windows Server 2008 R2 и выше при наличии активного лицензионного ключа Kaspersky Endpoint Agent с лицензионными объектами EDR Optimum и ICS Telemetry.
Sigma – это формат описания правил для обнаружения аномалий, с помощью которых Kaspersky Endpoint Agent анализирует данные внутренних событий и журналов событий. Правила, написанные в формате Sigma, называются Sigma-правилами. Каждое Sigma-правило хранится в отдельном YAML-файле.
Sigma-правила пишутся на языке YAML и имеют унифицированную структуру. Это позволяет специально созданным конвертерам формировать правила в синтаксисе различных SIEM-систем на основе Sigma-правил.
В таблице дана базовая информация об атрибутах и секциях Sigma-правила, которые интерпретирует Kaspersky Endpoint Agent. Более детальную информацию вы можете получить по ссылке.
Значения атрибутов чувствительны к регистру. Например, названия исполняемых файлов AnyDesk.exe и anyDesk.exe Kaspersky Endpoint Agent обрабатывает как разные.
Структура Sigma-правила
Атрибут / Секция |
Обязательный |
Описание |
||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Да |
Название правила, указывающее на то, что оно обнаруживает. Максимальная длина 256 символов. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Глобальный уникальный идентификатор правила. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Статус правила. Возможные значения: Например:
|
||||||||||||||||||||||||||||
|
Нет |
Описание правила и вредоносной активности, которую можно обнаружить с его помощью. Максимальная длина 65 535 символов. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Идентификатор лицензии согласно спецификации SPDX ID. Правило публикуется на условиях указанного типа лицензии. |
||||||||||||||||||||||||||||
|
Нет |
Любой признак, указывающий на автора правила. Например, имя-фамилия, прозвище, идентификатор в социальной сети. |
||||||||||||||||||||||||||||
|
Нет |
Ссылка на источник, из которого было получено правило. Например, статья в блоге, технический документ. |
||||||||||||||||||||||||||||
|
Нет |
Дата создания правила в формате ГГГГ/ММ/ДД. |
||||||||||||||||||||||||||||
|
Нет |
Дата в формате ГГГГ/ММ/ДД, когда был изменен один из атрибутов правила: |
||||||||||||||||||||||||||||
|
Нет |
Тег для категоризации правила. Подробнее читайте по ссылке. |
||||||||||||||||||||||||||||
|
Да |
В секции можно определить источник событий, в которых программа ищет аномалии. Основные атрибуты секции: Источники событий, которые поддерживает Kaspersky Endpoint Agent Поддерживаемые Kaspersky Endpoint Agent источники событий
Подробнее читайте по ссылке. |
||||||||||||||||||||||||||||
|
Нет |
Определяет категорию продуктов, в журналах событий которых программа ищет аномалии. Например: брандмауэр, интернет, антивирус или обобщенная категория.
|
||||||||||||||||||||||||||||
|
Нет |
Определяет программный продукт или операционную систему, в журналах событий которых программа ищет аномалии. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Определяет службу, в журналах событий которой программа ищет аномалии. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Описание особенностей источника журналов событий, в которых программа ищет аномалии. |
||||||||||||||||||||||||||||
|
Да |
Секция содержит один или несколько критериев для поиска аномалий в журналах событий и условие срабатывания правила. В качестве критериев поиска могут быть списки, словари и их комбинация. |
||||||||||||||||||||||||||||
|
Нет |
Список из значений какого-либо параметра из журнала событий, объединенных логическим ИЛИ. Например:
Согласно условию, будут искаться совпадения |
||||||||||||||||||||||||||||
|
Нет |
Пары типа параметр журнала событий - значение. Соединены логическим И. Например:
Согласно условию, будут искаться совпадения EventLog='Security' И Event ID=517. |
||||||||||||||||||||||||||||
|
Нет |
Список, состоящий из значений параметров журнала событий и словарей. Например:
Согласно условию, будут искаться совпадения EventLog='Security' И (Event ID=517 ИЛИ Event ID=1102) |
||||||||||||||||||||||||||||
|
Да |
Условие срабатывания правила. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Строки из журнала событий, которые могут быть интересны аналитику для дальнейшего анализа события. |
||||||||||||||||||||||||||||
|
Нет |
Список известных сценариев, которые могут привести к ложному срабатыванию правила. Например:
|
||||||||||||||||||||||||||||
|
Нет |
Показатель критичности аномалий, которые могут быть найдены с помощью правила. Возможные значения: |
title: Скачивание файлов с помощью CertUtil.exe
id: 89346938-3b2f-46c7-bb38-b9f244e3fad0
status: test
description: Обнаруживает скачивание файлов с помощью CertUtil.exe.
references:
- https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil
author: Kaspersky
date: 2024-05-22
tags:
- attack.defense_evasion
- attack.t1027
logsource:
category: process_creation
product: windows
detection:
selection_image:
- Image|endswith: '\certutil.exe'
- OriginalFileName: 'CertUtil.exe'
selection_http:
CommandLine|contains: 'http'
condition: all of selection_*
falsepositives:
- Обоснованные действия системного администратора.
level: low
Коллекция Sigma-правил – набор Sigma-правил, определяющих схожие события.
Kaspersky Endpoint Agent анализирует данные внутренних событий и журналов событий на предмет аномалий с помощью коллекций Sigma-правил, поставляемых АО "Лаборатория Касперского"с базами программы, и создаваемых пользователем коллекций Sigma-правил.
|
См. также Настройка обнаружения аномалий с помощью Sigma-правил Управление параметрами обнаружения аномалий с помощью Sigma-правил |