Особенности работы и ограничения обнаружения аномалий с помощью Sigma-правил

Функциональность обнаружения аномалий с помощью Sigma-правил имеет следующие ограничения:

• Для работы Sigma-правила "Изменение или удаление журналов событий Windows на узле DeltaV" сразу после установки компонента Обнаружение аномалий с помощью Sigma-правил требуется перезагрузить компьютер или остановить и заново запустить службу Журнал событий Windows.
  1. Запустите приложение Windows Службы (services.msc).
  2. В списке служб найдите Журнал событий Windows.
  3. В контекстном меню службы Журнал событий Windows выберите Остановить, чтобы остановить работу службы.
  4. В контекстном меню службы Журнал событий Windows выберите Запустить, чтобы запустить службу.
• Не поддерживаются следующие модификаторы значений: base64offset, cidr, lt, windash.
• Не поддерживаются регулярные выражения.
• Не поддерживается экранирование подстановочных знаков.
• Подстановочный знак ? обрабатывается приложением как *.
• Не поддерживается конструкция "condition: not selection", при этом поддерживается конструкция "condition: selection and not filter".
• Не поддерживаются правила, в которых в качестве критериев для поиска аномалий в журналах событий Windows не указано одно или несколько значений параметра EventID.
• Для Sigma-правил, описывающих операции с файлами, в отчете фиксируется первые 50 обнаружений. Счетчик обнаружений ведется отдельно для каждого процесса в случае, если процесс выполняет операции с файлами, у которых схожие пути.
• Приложение поддерживает работу Sigma-правил на компьютерах под управлением Windows XP и Windows Server 2003 с ограничениями. Открытие деталей алерта, обнаруженных на компьютерах под управлением этих ОС, может завершиться с ошибкой Не удалось открыть детали алерта. Возможные причины: компьютер не в сети, проблемы с сетью, истек срок хранения алерта. Вы можете открыть детали алерта с помощью Kaspersky Industrial CyberSecurity for Networks.

В начало