Главная
Поддержка
Документация
База Знаний
Обучение
Глоссарий
FAQ
Загрузки
База знаний Закрыть
menu expand
menu item
...
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu item
menu item
menu item
menu item
menu item
menu item
menu item
menu item
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand

Примеры настройки правила аналитики

ID статьи: 947
Последнее обновление: 04 июл, 2024
Documentation:
Product: SIEM
Version: 7.1.0
Technology: SIEM

Рассмотрим несколько примеров настройки правил аналитики.

Пример 1. Поиск попыток брутфорса

Брутфорс (Brute force) — метод взлома учётных записей путём подбора паролей к ним. Суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью определения правильной.

После задания общих настроек, таких как название правила, описание, уровень угрозы, приоритет, категория срабатывания и часовой пояс, были заданы несколько условий.

source = 'endpoint events log' AND logEventId = 4625 AND data MATCH 'Failure Reason:(\s*)Unknown user name or bad password.'

В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4625. Данный идентификатор события соответствует неудачной попытке авторизации учётной записи. Часть условия с оператором MATCH позволяет определить причину отказа в авторизации: неправильный логин или пароль.

Подробнее о событии 4625 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4625.

source = 'endpoint events log' AND logEventId = 4672

В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4672. Данный идентификатор события соответствует успешной авторизации с назначением специальных привилегий текущему сеансу.

Подробнее о событии 4672 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4672.

source ='endpoint events log' AND logEventId = 4624

В соответствии с условием производится поиск в журнале событий конечных устройств по идентификатору события 4624. Данный идентификатор события соответствует успешному входу пользователя в систему.

Подробнее о событии 4624 читайте в соответствующей документации: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4624.

Пример 2. Обнаружение изменения владельца файла

В данном примере рассматривается написание правила аналитики с использованием источника событий syslog. Правило обнаруживает изменение владельца файла на root с помощью утилиты chown. Условие задается следующей строкой:

source = 'syslog' AND data ~ 'COMMAND=/bin/chown root' AND applicationName = 'sudo'
 

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 947
Последнее обновление: 04 июл, 2024
Ревизия: 6
Просмотры: 4660
Комментарии: 0
Теги

Пред.
След.
« Общие сведения
Поиск »

О компании
Продукты
Поддержка
Техническая документация
Условия использования
Конфиденциальность
Copyright © 2001–2024 UserGate, Powered by KBPublisher