В таблице дана базовая информация об атрибутах и секциях Sigma-правила, которые интерпретирует Kaspersky Industrial CyberSecurity for Nodes. Более детальную информацию вы можете получить по ссылке.
Значения атрибутов чувствительны к регистру. Например, названия исполняемых файлов AnyDesk.exe и anyDesk.exe Kaspersky Industrial CyberSecurity for Nodes обрабатывает как разные.
Атрибут / Секция
|
Обязательный
|
Описание
|
title
|
Да
|
Название правила, указывающее на то, что оно обнаруживает. Максимальная длина 256 символов.
Например:
title: Создание новой службы RAT
|
id
|
Нет
|
Глобальный уникальный идентификатор правила. Например:
id: 929a690e-bef0-4204-a928-ef5e620d6fcc
|
status
|
Нет
|
Статус правила. Возможные значения: stable, test, experimental, deprecated, unsupported.
Например:
status: test
|
description
|
Нет
|
Описание правила и вредоносной активности, которую можно обнаружить с его помощью. Максимальная длина 65 535 символов.
Например:
description: Обнаруживает установку новой службы хост-программы Remote Utilities.
|
license
|
Нет
|
Идентификатор лицензии согласно спецификации SPDX ID. Правило публикуется на условиях указанного типа лицензии.
|
author
|
Нет
|
Любой признак, указывающий на автора правила. Например, имя-фамилия, прозвище, идентификатор в социальной сети.
|
reference
|
Нет
|
Ссылка на источник, из которого было получено правило. Например, статья в блоге, технический документ.
|
date
|
Нет
|
Дата создания правила в формате ГГГГ/ММ/ДД.
|
modified
|
Нет
|
Дата в формате ГГГГ/ММ/ДД, когда был изменен один из атрибутов правила: title, status, logsource, detection, level.
|
tags
|
Нет
|
Тег для категоризации правила. Подробнее читайте по ссылке.
|
logsource
|
Да
|
В секции можно определить источник событий, в которых программа ищет аномалии. Основные атрибуты секции: category, product, service.
Источники событий, которые поддерживает Kaspersky Industrial CyberSecurity for Nodes
Поддерживаемые Kaspersky Industrial CyberSecurity for Nodes источники событий
Источник (logsource)
|
Событие
|
category: process_creation
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события о запуске процесса, которое по содержанию соответствует событию EventID 1 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: driver_load
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события о загрузке драйвера, которое по содержанию соответствует событию EventID 6 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: image_load
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 7 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: registry_event
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутренних событий, которые по содержанию соответствуют событиям EventID 12, EventID 13 и EventID 14 в журнале Microsoft-Windows-Sysmon/Operational и дополнены полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: dns_query
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 22 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: file_rename
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события, которое по содержанию соответствует событию в журнале провайдера службы трассировки Windows Microsoft-Windows-Kernel-File и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
category: file_event
product: windows
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутреннего события, которое по содержанию соответствует событию EventID 11 в журнале Microsoft-Windows-Sysmon/Operational и дополнено полями Kaspersky Industrial CyberSecurity for Nodes.
|
product: windows
service: application
|
Kaspersky Industrial CyberSecurity for Nodes анализирует события из журнала WEL/Application.
|
product: windows
service: security
|
Kaspersky Industrial CyberSecurity for Nodes анализирует события из журнала WEL/Security.
|
product: windows
service: system
|
Kaspersky Industrial CyberSecurity for Nodes анализирует события из журнала WEL/System.
|
category: chronicle_journal
product: deltav
|
Kaspersky Industrial CyberSecurity for Nodes анализирует экземпляры внутренних событий, связанных с нормализованными данными из журналов событий системы Emerson DeltaV.
События источника не связаны с внешними журналами событий.
|
product: windows
service: powershell-classic
|
Kaspersky Industrial CyberSecurity for Nodes анализирует события из журнала Windows PowerShell.
|
product: windows
service: powershell
|
Kaspersky Industrial CyberSecurity for Nodes анализирует события из журнала Microsoft-Windows-PowerShell/Operational.
|
В операционной системе Microsoft Windows 7 для источников category: dns_query, service: powershell-classic, service: powershell отсутствуют некоторые внутренние события либо в событиях могут отсутствовать некоторые поля или необходимые данные. В результате Sigma-правила могут не срабатывать.
Подробнее читайте по ссылке.
|
category
|
Нет
|
Определяет категорию продуктов, в журналах событий которых программа ищет аномалии. Например: брандмауэр, интернет, антивирус или обобщенная категория.
logsource:
category: firewall
|
product
|
Нет
|
Определяет программный продукт или операционную систему, в журналах событий которых программа ищет аномалии. Например:
logsource:
product: Windows
|
service
|
Нет
|
Определяет службу, в журналах событий которой программа ищет аномалии. Например:
logsource:
service: AppLocker
|
definition
|
Нет
|
Описание особенностей источника журналов событий, в которых программа ищет аномалии.
|
detection
|
Да
|
Секция содержит один или несколько критериев для поиска аномалий в журналах событий и условие срабатывания правила. В качестве критериев поиска могут быть списки, словари и их комбинация.
Kaspersky Industrial CyberSecurity for Nodes не поддерживает модификатор значения windash.
|
список
|
Нет
|
Список из значений какого-либо параметра из журнала событий, объединенных логическим ИЛИ. Например:
detection:
selection:
OriginalFileName:
- 'AnyDesk.exe'
- 'TeamViewer.exe'
condition: selection
Согласно условию, будут искаться совпадения OriginalFileName='AnyDesk.exe' ИЛИ OriginalFileName='TeamViewer.exe'.
|
словарь
|
Нет
|
Пары типа параметр журнала событий - значение. Соединены логическим И. Например:
detection:
selection:
EventLog: Security
EventID: 517
condition: selection
Согласно условию, будут искаться совпадения EventLog='Security' И Event ID=517.
|
комбинация списка и словаря
|
Нет
|
Список, состоящий из значений параметров журнала событий и словарей. Например:
detection:
selection:
EventLog: Security
EventID:
- 517
- 1102'
condition: selection
Согласно условию, будут искаться совпадения EventLog='Security' И (Event ID=517 ИЛИ Event ID=1102)
|
condition
|
Да
|
Условие срабатывания правила. Например:
detection:
selection:
EventLog: Security
condition: selection
|
fields
|
Нет
|
Строки из журнала событий, которые могут быть интересны аналитику для дальнейшего анализа события.
|
falsepositives
|
Нет
|
Список известных сценариев, которые могут привести к ложному срабатыванию правила. Например:
falsepositives:
- Использование утилиты системными администраторами
|
level
|
Нет
|
Показатель критичности аномалий, которые могут быть найдены с помощью правила. Возможные значения: informational, low, medium, high, critical.
|