Критерии для поиска событий

Для поиска событий доступны следующие критерии:

• Общие сведения:
  • Host – имя хоста.
  • HostIP – IP-адрес хоста.
  • EventType – тип события.
  • UserName – имя пользователя.
  • OsFamily – семейство операционной системы.
  • OsVersion – версия операционной системы, используемой на хосте.
• Свойства TAA:
  • IOAId – идентификатор правила TAA (IOA).
  • IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  • IOATechnique – техника MITRE.
  • IOATactics – тактика MITRE.
  • IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
  • IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
• Свойства файла:
  • CreationTime – время создания события.
  • FileName – имя файла.
  • FilePath – путь к директории, в которой располагается файл.
  • FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
  • ModificationTime – время изменения файла.
  • FileSize – размер файла.
  • MD5 – MD5-хеш файла.
  • SHA256 – SHA256-хеш файла.
  • SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
• Процессы Linux:
  • LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
  • RealUserName – имя пользователя, назначенное ему при регистрации в системе.
  • EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
  • Environment – переменные окружения.
  • ProcessType – тип процесса.
  • OperationResult – результат операции.
  • FileOwnerUserName – имя владельца файла.
  • RealGroupName – имя группы пользователя.
  • EffectiveGroupName - имя группы пользователя, которое используется для работы.
• Запущен процесс:
  • PID – идентификатор процесса.
  • ParentFileFullName – путь к файлу родительского процесса.
  • ParentMD5 – MD5-хеш файла родительского процесса.
  • ParentSHA256 – SHA256-хеш файла родительского процесса.
  • StartupParameters – параметры запуска процесса.
  • ParentPID – идентификатор родительского процесса.
  • ParentStartupParameters – параметры запуска родительского процесса.
• Удаленное соединение:
  • HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
  • ConnectionDirection – направление соединения (входящее или исходящее).
  • LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
  • RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
  • RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
  • RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
  • URl – адрес ресурса, к которому произведен запрос HTTP.
• Изменение в реестре:
  • RegistryKey – путь к ключу реестра.
  • RegistryValueName – имя параметра реестра.
  • RegistryValue – значение параметра реестра.
  • RegistryOperationType – тип операции с реестром.
  • RegistryPreviousKey – предыдущий путь к ключу реестра.
  • RegistryPreviousValue – предыдущее имя параметра реестра.
• Журнал событий ОС:
  • WinLogEventID – идентификатор типа события безопасности в журнале Windows.
  • LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
  • WinLogName – имя журнала.
  • WinLogEventRecordID – идентификатор записи в журнале.
  • WinLogProviderName – идентификатор системы, записавшей событие в журнал.
  • WinLogTargetDomainName – доменное имя удаленного компьютера.
  • WinLogObjectName – имя объекта, инициировавшего событие.
  • WinlogPackageName – имя пакета, инициировавшего событие.
  • WinLogProcessName – имя процесса, инициировавшего событие.
• Обнаружение и результат обработки:
  • DetectName – имя обнаруженного объекта.
  • RecordID – идентификатор сработавшего правила.
  • ProcessingMode – режим проверки.
  • ObjectName – имя объекта.
  • ObjectType – тип объекта.
  • ThreatStatus – режим обнаружения.
  • UntreatedReason – статус обработки события.
  • ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
  • ObjectContentType (for AMSI events too) – тип содержимого скрипта.
• Интерактивный ввод команд в консоли:
  • InteractiveInputText – текст, введенный в командную строку.
  • InteractiveInputType – тип ввода (консоль или канал).
• Изменен файл:
  • FileOperationType – тип операции с файлом.
  • FilePreviousPath – путь к директории, в которой файл располагался ранее.
  • FilePreviousName - предыдущее имя файла.
  • FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
  • DroppedFileType – тип измененного файла.

В начало