В файле, доступном по ссылке для скачивания, описаны правила корреляции, включенные в поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.2. Приводятся сценарии, покрываемые правилами, условия их использования и необходимые источники событий.
Описанные в этом документе правила корреляции содержатся в файле SOC_package дистрибутива KUMA и защищены паролем SOC_package1. Одновременно возможно использование только одной из следующих версий набора SOC-правил: [OOTB] SOC Content - RU, [OOTB] SOC Content - ENG, [OOTB] SOC Content - RU for KUMA 3.2 или [OOTB] SOC Content - ENG for KUMA 3.2.
Правила корреляции можно импортировать в KUMA. См. раздел онлайн-справки "Импорт ресурсов": https://support.kaspersky.com/KUMA/3.2/ru-RU/242787.htm.
Импортированные правила корреляции можно добавлять в используемые вашей организацией корреляторы. См. раздел онлайн-справки "Шаг 3. Корреляция": https://support.kaspersky.com/KUMA/3.2/ru-RU/221168.htm.
Скачать Описание правил корреляции, содержащихся в SOC_package.xlsx
Описание пакетов корреляционных правил
В поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.2 включены пакеты правил корреляции, перечисленные в таблице "Пакеты корреляционных правил".
Пакеты корреляционных правил
Название пакета |
Описание |
|---|---|
[OOTB] SOC Content - RU |
Пакет корреляционных правил для KUMA версии 2.1 и выше с русской локализацией. |
[OOTB] SOC Content - ENG |
Пакет корреляционных правил для KUMA версии 2.1 и выше с английской локализацией. |
[OOTB] SOC Content - RU for KUMA 3.2 |
Пакет корреляционных правил для KUMA версии 3.2 и выше с русской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK. |
[OOTB] SOC Content - ENG for KUMA 3.2 |
Пакет корреляционных правил для KUMA версии 3.2 и выше с английской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK. |
Автоматическое подавление срабатывания правил
В пакете с правилами корреляции SOC_package предусмотрено автоматическое подавление срабатывания правил, если частота срабатывания превышает пороговые значения.
Опция автоматического подавления предполагает следующую логику работы: если правило сработало более 100 раз за 1 минуту и такое поведение случилось не менее 5 раз за 10 минут, правило будет помещено в стоп-лист.
Логика работы описана в ресурсах: правилах, активных листах и словарях, которые размещены в папке SOC_package/System/Rule disabling by condition.
Вы можете задать параметры и пороговые значения с учетом своих потребностей.
Чтобы включить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "1".
Чтобы отключить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "0".
По умолчанию автоматическое подавление включено и параметру enable присвоено значение "1".
События аудита
В корреляционных правилах из набора ресурсов [OOTB] SOC Content используются события аудита, перечисленные в таблице "События аудита".
События аудита
Источник событий |
События аудита |
|---|---|
CheckPoint |
Anti Malware, Threat Emulation |
Cisco ASA, FTD, PIX |
106021, 320001, 322001, 322002, 322003, 405001, 405002 |
CyberTrace |
alert |
DNS |
query |
KATA |
TAA has tripped on events database |
KSC |
GNRL_EV_ATTACK_DETECTED, GNRL_EV_SUSPICIOUS_OBJECT_FOUND, GNRL_EV_VIRUS_FOUND, GNRL_EV_WEB_URL_BLOCKED, KLSRV_HOST_STATUS_CRITICAL, KLSRV_HOST_STATUS_OK, KLSRV_HOST_STATUS_WARNING |
KSMG |
LMS_EV_SCAN_LOGIC_AV_STATUS, LMS_EV_SCAN_LOGIC_KT_STATUS, LMS_EV_SCAN_LOGIC_CF_STATUS, LMS_EV_SCAN_LOGIC_AP_STATUS |
KUMA |
Correlation rule |
Windows Event Log Powershell |
4103, 4104 |
Windows Event Log Security |
1102, 4624, 4625, 4656, 4657, 4662, 4663, 4672, 4688, 4697, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4768, 4769, 4771, 5136, 5140, 5145 |
Windows Event Log System |
7036, 7045 |
Windows Event Log Defender |
1006, 1015, 1116, 1117, 5001, 5010, 5012, 5101 |
Netflow, FW |
Traffic log |
Palo Alto |
virus |
auditd |
ADD_USER, DEL_USER, PATH, SYSCALL, USER_AUTH, USER_LOGIN, execve |