Содержимое Sigma-правил, поставляемых с базами программы, закрыто от пользователя. Это связано с тем, что условия срабатывания правил являются интеллектуальной собственностью АО "Лаборатория Касперского" и не подлежат разглашению.
В редакторе изменения Sigma-правила, поставляемого с базами программы, вы можете только добавить исключения из правила, задав параметры исключения внутри секции detection.
Шаблон исключения задан следующим образом:
detection:
exclude1:
- ...
condition: not 1 of exclude*
Данный шаблон предполагает указание исключений с помощью атрибутов exclude*, а условие срабатывания правила предполагает выполнение условий, которые скрыты от пользователя, и несовпадение со всеми заданными исключениями.
Например:
detection:
exclude1:
Image|endswith:
- '\chrome.exe'
- '\tor.exe'
exclude2:
QueryName|endswith: 'api.parsec.app'
condition: not 1 of exclude*
В начало