[OOTB] SOC Content - RU

Пакет правил корреляции для KUMA версии 2.1 и выше с русской локализацией.

[OOTB] SOC Content - ENG

Пакет правил корреляции для KUMA версии 2.1 и выше с английской локализацией.

[OOTB] SOC Content - RU for KUMA 3.2

Пакет правил корреляции для KUMA версии 3.2 и выше с русской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] SOC Content - ENG for KUMA 3.2

Пакет правил корреляции для KUMA версии 3.2 и выше с английской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] KSC Package - RU

Пакет правил корреляции, направленных на мониторинг событий Kaspersky Security Center. Пакет доступен для KUMA версии 3.2 и выше с русской локализацией. Он позволяет выявить потенциально опасные действия в системе на основе внутренних событий аудита.

Для правильной работы правил корреляции необходимо проверить настройки аудита, чтобы журналы событий содержали достаточный уровень детализации. Пакет правил корреляции работает на событиях, которые собираются через базу данных Kaspersky Security Center.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] KSC Package - ENG

Пакет правил корреляции, направленных на мониторинг событий Kaspersky Security Center. Пакет доступен для KUMA версии 3.2 и выше с английской локализацией. Он позволяет выявить потенциально опасные действия в системе на основе внутренних событий аудита.

Для правильной работы правил корреляции необходимо проверить настройки аудита, чтобы журналы событий содержали достаточный уровень детализации. Пакет правил корреляции работает на событиях, которые собираются через базу данных Kaspersky Security Center.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] KSMG Package - RU

Пакет правил корреляции, направленных на мониторинг событий Kaspersky Security Mail Gateway. Пакет доступен для KUMA версии 3.2 и выше с русской локализацией. Он позволяет выявить потенциально опасные действия в системе защиты почтового трафика на основе внутренних событий аудита.

Для правильной работы правил необходимо проверить настройки аудита, чтобы журналы событий содержали достаточный уровень детализации. Настройки аудита Kaspersky Secure Mail Gateway расположены в разделе Параметры → Журналы и события → События. В блоке События аудита нужно выбрать Уровень журналирования событий аудита → Записывать события аудита и измененные параметры.

Примечания:

• Пакет правил работает на событиях в формате CEF.
• При отправке событий в SIEM-систему понадобится журнал Kaspersky Secure Mail Gateway в формате CEF (local2).

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] KSMG Package - ENG

Пакет правил корреляции, направленных на мониторинг событий Kaspersky Security Mail Gateway. Пакет доступен для KUMA версии 3.2 и выше с английской локализацией. Он позволяет выявить потенциально опасные действия в системе защиты почтового трафика на основе внутренних событий аудита.

Для правильной работы правил необходимо проверить настройки аудита, чтобы журналы событий содержали достаточный уровень детализации. Настройки аудита Kaspersky Secure Mail Gateway расположены в разделе Параметры → Журналы и события → События. В блоке События аудита нужно выбрать Уровень журналирования событий аудита → Записывать события аудита и измененные параметры.

Примечания:

• Пакет правил работает на событиях в формате CEF.
• При отправке событий в SIEM-систему понадобится журнал Kaspersky Secure Mail Gateway в формате CEF (local2).

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] Network Package - RU

Пакет правил корреляции, направленных на выявление аномалий в сетевой активности, для KUMA версии 3.2 и выше с русской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] Network Package - ENG

Пакет правил корреляции, направленных на выявление аномалий в сетевой активности, для KUMA версии 3.2 и выше с английской локализацией. Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] PCIDSS Package - RU

Пакет правил корреляции, направленных на соблюдение требований стандарта PCI DSS. Пакет доступен для KUMA версии 3.2 и выше с русской локализацией.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] PCIDSS Package - ENG

Пакет правил корреляции, направленных на соблюдение требований стандарта PCI DSS. Пакет доступен для KUMA версии 3.2 и выше с английской локализацией.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] XDR package - RU

Пакет содержит набор ресурсов для обнаружения продвинутых атак в инфраструктуре. Пакет доступен для KUMA версии 3.2 и выше с русской локализацией. С его помощью можно обнаружить не только попытки использования наиболее популярного, по версии Kaspersky MDR, вектора получения первоначального доступа - фишинга, но и вирусного заражения, попытки обхода средств защиты, доставки и запуска полезной нагрузки, закрепления, разведки, бокового перемещения и связи с сервером управления различными способами.

Правила работают на событиях продуктов "Лаборатории Касперского": EDR, KSC, KSMG, а также используют события операционных систем семейства Windows.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] XDR package - ENG

Пакет содержит набор ресурсов для обнаружения продвинутых атак в инфраструктуре. Пакет доступен для KUMA версии 3.2 и выше с английской локализацией. С его помощью можно обнаружить не только попытки использования наиболее популярного, по версии Kaspersky MDR, вектора получения первоначального доступа - фишинга, но и вирусного заражения, попытки обхода средств защиты, доставки и запуска полезной нагрузки, закрепления, разведки, бокового перемещения и связи с сервером управления различными способами.

Правила работают на событиях продуктов "Лаборатории Касперского": EDR, KSC, KSMG, а также используют события операционных систем семейства Windows.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] UEBA package - RU

Beta-версия пакета правил корреляции.

Пакет правил корреляции предназначен для выявления аномального поведения учетной записи или рабочей станции в корпоративной сети. Пакет доступен для KUMA версии 3.2 и выше с русской локализацией. Он строит адаптивные модели нормального поведения на основе накопленных исторических данных (сбор данных длится месяц или заданный период). Эти модели используются для расчета статистических показателей, минимизирующих ложные срабатывания и эффективно выявляющих потенциально опасные отклонения.

Источники данных: События ОС Windows, NetFlow, Cisco, Solar Proxy.

Примечания:

• Правила сбора данных (collection rules) могут быть адаптированы под конкретные средства защиты информации и источники телеметрии.
• Для максимальной эффективности работы пакета критически важно обогащение событий данными DNS.
• Правила могут оказать воздействие на производительность коррелятора.
• Рекомендуется использовать правила в KUMA версии 4.0 и выше.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

[OOTB] UEBA package - ENG

Beta-версия пакета правил корреляции.

Пакет правил корреляции предназначен для выявления аномального поведения учетной записи или рабочей станции в корпоративной сети. Пакет доступен для KUMA версии 3.2 и выше с английской локализацией. Он строит адаптивные модели нормального поведения на основе накопленных исторических данных (сбор данных длится месяц или заданный период). Эти модели используются для расчета статистических показателей, минимизирующих ложные срабатывания и эффективно выявляющих потенциально опасные отклонения.

Источники данных: События ОС Windows, NetFlow, Cisco, Solar Proxy.

Примечания:

• Правила сбора данных (collection rules) могут быть адаптированы под конкретные средства защиты информации и источники телеметрии.
• Для максимальной эффективности работы пакета критически важно обогащение событий данными DNS.
• Правила могут оказать воздействие на производительность коррелятора.
• Рекомендуется использовать правила в KUMA версии 4.0 и выше.

Правила содержат информацию о покрытии матрицы MITRE ATT&CK.

CheckPoint

Anti Malware, Threat Emulation

Cisco ASA, FTD, PIX

106021, 320001, 322001, 322002, 322003, 405001, 405002

CyberTrace

alert

DNS

query

KATA

TAA has tripped on events database

KSC

GNRL_EV_ATTACK_DETECTED, GNRL_EV_SUSPICIOUS_OBJECT_FOUND, GNRL_EV_VIRUS_FOUND, GNRL_EV_WEB_URL_BLOCKED, KLSRV_HOST_STATUS_CRITICAL, KLSRV_HOST_STATUS_OK, KLSRV_HOST_STATUS_WARNING

KSMG

LMS_EV_SCAN_LOGIC_AV_STATUS, LMS_EV_SCAN_LOGIC_KT_STATUS, LMS_EV_SCAN_LOGIC_CF_STATUS, LMS_EV_SCAN_LOGIC_AP_STATUS

KUMA

Correlation rule

Windows Event Log Powershell

4103, 4104

Windows Event Log Security

1102, 4624, 4625, 4656, 4657, 4662, 4663, 4672, 4688, 4697, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4768, 4769, 4771, 5136, 5140, 5145

Windows Event Log System

7036, 7045

Windows Event Log Defender

1006, 1015, 1116, 1117, 5001, 5010, 5012, 5101

Netflow, FW

Traffic log

Palo Alto

virus

auditd

ADD_USER, DEL_USER, PATH, SYSCALL, USER_AUTH, USER_LOGIN, execve