Изменение Sigma-правила

Вы можете вносить любые изменения в пользовательские Sigma-правила и только добавлять и удалять исключения и изменять состояние Sigma-правил, которые поставляет АО "Лаборатория Касперского".

Чтобы изменить Sigma-правило:

1. Выполните одно из следующих действий:
   • для группы защищаемых устройств, откройте окно свойств политики программы.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Выберите политику, которую вы хотите настроить.
     3. В открывшемся окне <Имя политики> выберите вкладку Параметры программы.
   • для отдельного защищаемого устройства, откройте параметры программы для устройства.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите устройство, для которого вы хотите настроить параметры программы.
     3. В открывшемся окне <Имя устройства> выберите вкладку Программы.
     4. Выберите Kaspersky Endpoint Agent.
     5. В открывшемся окне Kaspersky Endpoint Agent выберите вкладку Параметры программы.
2. В разделе Обнаружение аномалий с помощью Sigma-правил с помощью флажка напротив имени коллекции выберите коллекцию, для которой вы хотите изменить Sigma-правило.
3. Нажмите на кнопку Изменить.

   Откроется окно Изменение правил коллекции.

4. С помощью флажка напротив имени правила выберите правило, которое вы хотите изменить.
5. Если необходимо, измените состояние правила с помощью переключателя Включено / Выключено над именем правила.
6. Нажмите на кнопку Изменить / Редактировать.

   Откроется окно Изменение Sigma-правила.

7. Если вы изменяете Sigma-правило, которое поставлено АО "Лаборатория Касперского" в составе коллекции, добавьте или удалите исключения для правила.

   Содержимое Sigma-правил, поставляемых с базами программы, закрыто от пользователя. Это связано с тем, что условия срабатывания правил являются интеллектуальной собственностью АО "Лаборатория Касперского" и не подлежат разглашению.

   В редакторе изменения Sigma-правила, поставляемого с базами программы, вы можете только добавить исключения из правила, задав параметры исключения внутри секции detection.

   Шаблон исключения задан следующим образом:

   detection:

   exclude1:

   - ...

   condition: not 1 of exclude*

   Данный шаблон предполагает указание исключений с помощью атрибутов exclude*, а условие срабатывания правила предполагает выполнение условий, которые скрыты от пользователя, и несовпадение со всеми заданными исключениями.

   Например:

   detection:

   exclude1:

   Image|endswith:

   - '\chrome.exe'

   - '\tor.exe'

   exclude2:

   QueryName|endswith: 'api.parsec.app'

   condition: not 1 of exclude*

8. Если вы изменяете пользовательское Sigma-правило, внесите необходимые изменения во всей структуре правила.

   В таблице дана базовая информация об атрибутах и секциях Sigma-правила, которые интерпретирует Kaspersky Endpoint Agent. Более детальную информацию вы можете получить по ссылке.

   Значения атрибутов чувствительны к регистру. Например, названия исполняемых файлов AnyDesk.exe и anyDesk.exe Kaspersky Endpoint Agent обрабатывает как разные.

   Структура Sigma-правила

   Атрибут / Секция	Обязательный	Описание
   title	Да	Название правила, указывающее на то, что оно обнаруживает. Максимальная длина 256 символов. Например: title: Создание новой службы RAT
   id	Нет	Глобальный уникальный идентификатор правила. Например: id: 929a690e-bef0-4204-a928-ef5e620d6fcc
   status	Нет	Статус правила. Возможные значения: stable, test, experimental, deprecated, unsupported. Например: status: test
   description	Нет	Описание правила и вредоносной активности, которую можно обнаружить с его помощью. Максимальная длина 65 535 символов. Например: description: Обнаруживает установку новой службы хост-программы Remote Utilities.
   license	Нет	Идентификатор лицензии согласно спецификации SPDX ID. Правило публикуется на условиях указанного типа лицензии.
   author	Нет	Любой признак, указывающий на автора правила. Например, имя-фамилия, прозвище, идентификатор в социальной сети.
   reference	Нет	Ссылка на источник, из которого было получено правило. Например, статья в блоге, технический документ.
   date	Нет	Дата создания правила в формате ГГГГ/ММ/ДД.
   modified	Нет	Дата в формате ГГГГ/ММ/ДД, когда был изменен один из атрибутов правила: title, status, logsource, detection, level.
   tags	Нет	Тег для категоризации правила. Подробнее читайте по ссылке.
   logsource	Да	В секции можно определить источник событий, в которых программа ищет аномалии. Основные атрибуты секции: category, product, service. Источники событий, которые поддерживает Kaspersky Endpoint Agent Поддерживаемые Kaspersky Endpoint Agent источники событий   Источник (logsource) Событие category: process_creation product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события о запуске процесса, которое по содержанию соответствует событию EventID 1 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: driver_load product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события о загрузке драйвера, которое по содержанию соответствует событию EventID 6 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: image_load product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 7 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: registry_event product: windows Kaspersky Endpoint Agent анализирует экземпляры внутренних событий, которые по содержанию соответствуют событиям EventID 12, EventID 13 и EventID 14 в журнале Microsoft-Windows-Sysmon/Operational и дополнены полями Kaspersky Endpoint Agent. category: dns_query product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 22 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: file_rename product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию в журнале провайдера службы трассировки Windows Microsoft-Windows-Kernel-File и дополнено полями Kaspersky Endpoint Agent. category: file_event product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 11 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. product: windows service: application Kaspersky Endpoint Agent анализирует события из журнала WEL/Application. product: windows service: security Kaspersky Endpoint Agent анализирует события из журнала WEL/Security. product: windows service: system Kaspersky Endpoint Agent анализирует события из журнала WEL/System. category: chronicle_journal product: deltav Kaspersky Endpoint Agent анализирует экземпляры внутренних событий, связанных с нормализованными данными из журналов событий системы Emerson DeltaV. События источника не связаны с внешними журналами событий. product: windows service: powershell-classic Kaspersky Endpoint Agent анализирует события из журнала Windows PowerShell. product: windows service: powershell Kaspersky Endpoint Agent анализирует события из журнала Microsoft-Windows-PowerShell/Operational.   Подробнее читайте по ссылке.
   category	Нет	Определяет категорию продуктов, в журналах событий которых программа ищет аномалии. Например: брандмауэр, интернет, антивирус или обобщенная категория. logsource: category: firewall
   product	Нет	Определяет программный продукт или операционную систему, в журналах событий которых программа ищет аномалии. Например: logsource: product: Windows
   service	Нет	Определяет службу, в журналах событий которой программа ищет аномалии. Например: logsource: service: AppLocker
   definition	Нет	Описание особенностей источника журналов событий, в которых программа ищет аномалии.
   detection	Да	Секция содержит один или несколько критериев для поиска аномалий в журналах событий и условие срабатывания правила. В качестве критериев поиска могут быть списки, словари и их комбинация.
   список	Нет	Список из значений какого-либо параметра из журнала событий, объединенных логическим ИЛИ. Например: detection: selection: OriginalFileName: - 'AnyDesk.exe' - 'TeamViewer.exe' condition: selection Согласно условию, будут искаться совпадения OriginalFileName='AnyDesk.exe' ИЛИ OriginalFileName='TeamViewer.exe'.
   словарь	Нет	Пары типа параметр журнала событий - значение. Соединены логическим И. Например: detection: selection: EventLog: Security EventID: 517 condition: selection Согласно условию, будут искаться совпадения EventLog='Security' И Event ID=517.
   комбинация списка и словаря	Нет	Список, состоящий из значений параметров журнала событий и словарей. Например: detection: selection: EventLog: Security EventID: - 517 - 1102' condition: selection Согласно условию, будут искаться совпадения EventLog='Security' И (Event ID=517 ИЛИ Event ID=1102)
   condition	Да	Условие срабатывания правила. Например: detection: selection: EventLog: Security condition: selection
   fields	Нет	Строки из журнала событий, которые могут быть интересны аналитику для дальнейшего анализа события.
   falsepositives	Нет	Список известных сценариев, которые могут привести к ложному срабатыванию правила. Например: falsepositives: - Использование утилиты системными администраторами
   level	Нет	Показатель критичности аномалий, которые могут быть найдены с помощью правила. Возможные значения: informational, low, medium, high, critical.

9. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.