Настройка обнаружения аномалий с помощью Sigma-правил в командной строке

Чтобы настроить обнаружение аномалий с помощью Sigma-правил через интерфейс командной строки:

  1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
  2. С помощью команды cd перейдите в папку, где находится файл kavshell.exe.

    Например, введите команду cd C:\Program Files (x86)\Kaspersky Lab\Kaspersky Industrial CyberSecurity for Nodes.4.5.0 и нажмите на клавишу ENTER.

  3. Введите следующую команду:

    kavshell.exe sigma /<enable|disable|add|remove|show> [/collection:<rat|deltav|uac|siemens|yokogawa|custom>] [/name:<имя коллекции>] [/source:<полный путь к папке с YAML-файлами>] [/login:<имя учетной записи текущего пользователя>] [/pwd:<пароль для /login или KLAdmin, если не задан /login>

  4. Нажмите на клавишу ENTER.

    Параметры команды для управления обнаружением аномалий с помощью Sigma-правил

    Параметр

    Описание

    sigma /<enable|disable|add|remove|show>

    Обязательный параметр.

    Указывает на одно из следующих действий:

    • enable – включить обнаружение аномалий с помощью Sigma-правил;
    • disable – выключить обнаружение аномалий с помощью Sigma-правил;
    • add – добавить коллекцию Sigma-правил;
    • remove – удалить коллекцию Sigma-правил;
    • show – отобразить текущие параметры обнаружения аномалий с помощью Sigma-правил.

    /collection:<rat|deltav|uac|siemens|yokogawa|custom>

    Параметр обязателен, если указано sigma /<add|remove>.

    Указывает коллекцию Sigma-правил, которую нужно добавить или удалить:

    • rat – коллекция правил для выявления средств администрирования (англ. Remote Administration Tool, RAT);
    • deltaV – коллекция правил для анализа журналов РСУ Emerson DeltaV;
    • uac – коллекция правил для анализа журналов пользовательской активности (англ. User Account Control, UAC);
    • siemens – коллекция правил для анализа журналов промышленного ПО Siemens;
    • yokogawa – коллекция правил для анализа журналов РСУ Yokogawa Centum VP;
    • custom – коллекция пользовательских правил.

    Возможно также указать test. Будет добавлено или удалено одно правило, предназначенное для внутреннего тестирования в АО "Лаборатория Касперского".

    /name:<имя коллекции>

    Параметр обязателен, если указано sigma /<add|remove> и /collection:custom.

    Указывает имя коллекции пользовательских Sigma-правил.

    /source:<полный путь к папке с YAML-файлами>

    Параметр обязателен, если указано sigma /add и /collection:custom.

    Указывает полный путь к папке с YAML-файлами, в которых описаны пользовательские Sigma-правила.

В начало