Пример настройки правила аналитики

В качестве примера рассмотрим настройку правила аналитики, направленную на поиск попыток брутфорса.

Брутфорс (Brute force) - метод взлома учётных записей путём подбора паролей к ним. Суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью определения правильной.

После задания общих настроек, таких как название правила, описание, уровень угрозы, приоритет, категория срабатывания и часовой пояс, были заданы несколько условий.

• source = 'endpoint events log' AND logEventId = 4625 AND data MATCH 'Failure Reason:(\s*)Unknown user name or bad password.'

  В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4625. Данный идентификатор события соответствует неудачной попытке авторизации учётной записи. Часть условия с оператором MATCH позволяет определить причину отказа в авторизации: неправильный логин или пароль.

Подробнее о событии 4625 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4625.

• source = 'endpoint events log' AND logEventId = 4672

  В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4672. Данный идентификатор события соответствует успешной авторизации с назначением специальных привилегий текущему сеансу.

Подробнее о событии 4672 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4672.

• source ='endpoint events log' AND logEventId = 4624

  В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4624. Данный идентификатор события соответствует успешному входу пользователя в систему.

Подробнее о событии 4624 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4624.