Правила корреляции

В файле, доступном по ссылке для скачивания, описаны правила корреляции, включенные в поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3. Приводятся сценарии, покрываемые правилами, условия их использования и необходимые источники событий.

Описанные в этом документе правила корреляции содержатся в файле SOC_package дистрибутива KUMA и защищены паролем SOC_package1. Одновременно возможно использование только одной версии набора SOC-правил: или русской, или английской.

Правила корреляции можно импортировать в KUMA. См. раздел онлайн-справки "Импорт ресурсов": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/242787.htm.

Импортированные правила корреляции можно добавлять в используемые вашей организацией корреляторы. См. раздел онлайн-справки "Шаг 3. Корреляция": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/221168.htm.

Скачать Описание правил корреляции, содержащихся в SOC_package.xlsx

Автоматическое подавление срабатывания правил

В пакете с правилами корреляции SOC_package предусмотрено автоматическое подавление срабатывания правил, если частота срабатывания превышает пороговые значения.

Опция автоматического подавления предполагает следующую логику работы: если правило сработало более 100 раз за 1 минуту и такое поведение случилось не менее 5 раз за 10 минут, правило будет помещено в стоп-лист.

Логика работы описана в ресурсах: правилах, активных листах и словарях, которые размещены в папке SOC_package/System/Rule disabling by condition.

Вы можете задать параметры и пороговые значения с учетом своих потребностей.

Чтобы включить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "1".

Чтобы отключить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "0".

По умолчанию автоматическое подавление включено и параметру enable присвоено значение "1".

События аудита

В корреляционных правилах из набора ресурсов [OOTB] SOC Content используются события аудита, перечисленные в таблице "События аудита".

События аудита

Источник событий

События аудита

KSC

GNRL_EV_VIRUS_FOUND, GNRL_EV_WEB_URL_BLOCKED, KLSRV_HOST_STATUS_CRITICAL, KLSRV_HOST_STATUS_WARNING, KLSRV_HOST_STATUS_OK

Microsoft Windows, журнал PowerShell/Operational

4104, 4103

Microsoft Windows, журнал Security

1102, 4624, 4657, 4662, 4663, 4656, 4688 (+command line), 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4768, 4769, 4771, 5140, 5145

Microsoft Windows, журнал System

7036, 7045

Microsoft Windows: Windows, журнал Windows Defender \ Operational

1006, 1015, 1116, 1117, 5001, 5010, 5012, 5101

Linux, события auditd

USER_AUTH, USER_LOGIN, execve

KATA

TAA has tripped on events database

KUMA

События, созданные в результате срабатывания корреляционных правил.

Network devices

События сетевых устройств, содержащие IP-адрес и порт источника и IP-адрес и порт назначения.

В начало