Добавление Sigma-правил в пользовательскую коллекцию

Чтобы добавить Sigma-правила в пользовательскую коллекцию:

1. Выполните одно из следующих действий:
   • для группы защищаемых устройств, откройте окно свойств политики программы.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
     2. Выберите политику, которую вы хотите настроить.
     3. В открывшемся окне <Имя политики> выберите вкладку Параметры программы.
   • для отдельного защищаемого устройства, откройте параметры программы для устройства.
     1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Управляемые устройства.
     2. Выберите устройство, для которого вы хотите настроить параметры программы.
     3. В открывшемся окне <Имя устройства> выберите вкладку Программы.
     4. Выберите Kaspersky Endpoint Agent.
     5. В открывшемся окне Kaspersky Endpoint Agent выберите вкладку Параметры программы.
2. В разделе Обнаружение аномалий с помощью Sigma-правил с помощью флажка напротив имени коллекции выберите пользовательскую коллекцию Sigma-правил, в которую вы хотите добавить одно или несколько Sigma-правил.
3. Нажмите на кнопку Добавить.

   Откроется окно Изменение правил коллекции.

4. Добавьте Sigma-правила любым из следующих способов:
   • Вручную:
     1. Нажмите на кнопку Добавить.

        Откроется окно Изменение Sigma-правила.

     2. В форме для редактирования опишите правило в формате Sigma.

        В таблице дана базовая информация об атрибутах и секциях Sigma-правила, которые интерпретирует Kaspersky Endpoint Agent. Более детальную информацию вы можете получить по ссылке.

        Значения атрибутов чувствительны к регистру. Например, названия исполняемых файлов AnyDesk.exe и anyDesk.exe Kaspersky Endpoint Agent обрабатывает как разные.

        Структура Sigma-правила

        Атрибут / Секция	Обязательный	Описание
        title	Да	Название правила, указывающее на то, что оно обнаруживает. Максимальная длина 256 символов. Например: title: Создание новой службы RAT
        id	Нет	Глобальный уникальный идентификатор правила. Например: id: 929a690e-bef0-4204-a928-ef5e620d6fcc
        status	Нет	Статус правила. Возможные значения: stable, test, experimental, deprecated, unsupported. Например: status: test
        description	Нет	Описание правила и вредоносной активности, которую можно обнаружить с его помощью. Максимальная длина 65 535 символов. Например: description: Обнаруживает установку новой службы хост-программы Remote Utilities.
        license	Нет	Идентификатор лицензии согласно спецификации SPDX ID. Правило публикуется на условиях указанного типа лицензии.
        author	Нет	Любой признак, указывающий на автора правила. Например, имя-фамилия, прозвище, идентификатор в социальной сети.
        reference	Нет	Ссылка на источник, из которого было получено правило. Например, статья в блоге, технический документ.
        date	Нет	Дата создания правила в формате ГГГГ/ММ/ДД.
        modified	Нет	Дата в формате ГГГГ/ММ/ДД, когда был изменен один из атрибутов правила: title, status, logsource, detection, level.
        tags	Нет	Тег для категоризации правила. Подробнее читайте по ссылке.
        logsource	Да	В секции можно определить источник событий, в которых программа ищет аномалии. Основные атрибуты секции: category, product, service. Источники событий, которые поддерживает Kaspersky Endpoint Agent Поддерживаемые Kaspersky Endpoint Agent источники событий   Источник (logsource) Событие category: process_creation product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события о запуске процесса, которое по содержанию соответствует событию EventID 1 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: driver_load product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события о загрузке драйвера, которое по содержанию соответствует событию EventID 6 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: image_load product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 7 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: registry_event product: windows Kaspersky Endpoint Agent анализирует экземпляры внутренних событий, которые по содержанию соответствуют событиям EventID 12, EventID 13 и EventID 14 в журнале Microsoft-Windows-Sysmon/Operational и дополнены полями Kaspersky Endpoint Agent. category: dns_query product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 22 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. category: file_rename product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию в журнале провайдера службы трассировки Windows Microsoft-Windows-Kernel-File и дополнено полями Kaspersky Endpoint Agent. category: file_event product: windows Kaspersky Endpoint Agent анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 11 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Endpoint Agent. product: windows service: application Kaspersky Endpoint Agent анализирует события из журнала WEL/Application. product: windows service: security Kaspersky Endpoint Agent анализирует события из журнала WEL/Security. product: windows service: system Kaspersky Endpoint Agent анализирует события из журнала WEL/System. category: chronicle_journal product: deltav Kaspersky Endpoint Agent анализирует экземпляры внутренних событий, связанных с нормализованными данными из журналов событий системы Emerson DeltaV. События источника не связаны с внешними журналами событий. product: windows service: powershell-classic Kaspersky Endpoint Agent анализирует события из журнала Windows PowerShell. product: windows service: powershell Kaspersky Endpoint Agent анализирует события из журнала Microsoft-Windows-PowerShell/Operational.   Подробнее читайте по ссылке.
        category	Нет	Определяет категорию продуктов, в журналах событий которых программа ищет аномалии. Например: брандмауэр, интернет, антивирус или обобщенная категория. logsource: category: firewall
        product	Нет	Определяет программный продукт или операционную систему, в журналах событий которых программа ищет аномалии. Например: logsource: product: Windows
        service	Нет	Определяет службу, в журналах событий которой программа ищет аномалии. Например: logsource: service: AppLocker
        definition	Нет	Описание особенностей источника журналов событий, в которых программа ищет аномалии.
        detection	Да	Секция содержит один или несколько критериев для поиска аномалий в журналах событий и условие срабатывания правила. В качестве критериев поиска могут быть списки, словари и их комбинация.
        список	Нет	Список из значений какого-либо параметра из журнала событий, объединенных логическим ИЛИ. Например: detection: selection: OriginalFileName: - 'AnyDesk.exe' - 'TeamViewer.exe' condition: selection Согласно условию, будут искаться совпадения OriginalFileName='AnyDesk.exe' ИЛИ OriginalFileName='TeamViewer.exe'.
        словарь	Нет	Пары типа параметр журнала событий - значение. Соединены логическим И. Например: detection: selection: EventLog: Security EventID: 517 condition: selection Согласно условию, будут искаться совпадения EventLog='Security' И Event ID=517.
        комбинация списка и словаря	Нет	Список, состоящий из значений параметров журнала событий и словарей. Например: detection: selection: EventLog: Security EventID: - 517 - 1102' condition: selection Согласно условию, будут искаться совпадения EventLog='Security' И (Event ID=517 ИЛИ Event ID=1102)
        condition	Да	Условие срабатывания правила. Например: detection: selection: EventLog: Security condition: selection
        fields	Нет	Строки из журнала событий, которые могут быть интересны аналитику для дальнейшего анализа события.
        falsepositives	Нет	Список известных сценариев, которые могут привести к ложному срабатыванию правила. Например: falsepositives: - Использование утилиты системными администраторами
        level	Нет	Показатель критичности аномалий, которые могут быть найдены с помощью правила. Возможные значения: informational, low, medium, high, critical.

     3. Нажмите на кнопку ОК.

        Описанное Sigma-правило отобразится в списке правил коллекции. Правило по умолчанию включено (переключатель слева от имени правила находится в положении Включено).

     4. Повторите пункты a-c для каждого добавляемого вручную правила.
   • Из файлов:
     1. Нажмите на кнопку Добавить файлы.
     2. В открывшемся окне выберите один или несколько YAML-файлов, в которых описаны Sigma-правила.
     3. Нажмите на кнопку Открыть.

        Sigma-правила, описанные в YAML-файлах, отобразятся в списке правил коллекции. Правила по умолчанию включены (переключатели слева от имен правил находится в положении Включено).

        Если в синтаксисе Sigma-правила допущены ошибки или отсутствуют обязательные атрибуты, то такое правило не будет добавлено в коллекцию.

5. Нажмите на кнопку ОК.

См. также Экспорт и импорт Sigma-правил пользовательской коллекции

В начало