Правила корреляции
В файле, доступном по ссылке для скачивания, описаны правила корреляции, включенные в поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3. Приводятся сценарии, покрываемые правилами, условия их использования и необходимые источники событий.
Описанные в этом документе правила корреляции содержатся в файле SOC_package дистрибутива KUMA и защищены паролем SOC_package1. Одновременно возможно использование только одной версии набора SOC-правил: или русской, или английской.
Правила корреляции можно импортировать в KUMA. См. раздел онлайн-справки "Импорт ресурсов": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/242787.htm.
Импортированные правила корреляции можно добавлять в используемые вашей организацией корреляторы. См. раздел онлайн-справки "Шаг 3. Корреляция": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/221168.htm.
Скачать Описание правил корреляции, содержащихся в SOC_package.xlsx
Автоматическое подавление срабатывания правил
В пакете с правилами корреляции SOC_package предусмотрено автоматическое подавление срабатывания правил, если частота срабатывания превышает пороговые значения.
Опция автоматического подавления предполагает следующую логику работы: если правило сработало более 100 раз за 1 минуту и такое поведение случилось не менее 5 раз за 10 минут, правило будет помещено в стоп-лист.
- При первом помещении в стоп-лист правило отключается на 1 час.
- При повторном - на 24 часа.
- При всех последующих на 7 дней.
Логика работы описана в ресурсах: правилах, активных листах и словарях, которые размещены в папке SOC_package/System/Rule disabling by condition.
Вы можете задать параметры и пороговые значения с учетом своих потребностей.
Чтобы включить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "1".
Чтобы отключить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "0".
По умолчанию автоматическое подавление включено и параметру enable присвоено значение "1".
События аудита
В корреляционных правилах из набора ресурсов [OOTB] SOC Content используются события аудита, перечисленные в таблице "События аудита".
События аудита
Источник событий | События аудита |
|---|---|
KSC | GNRL_EV_VIRUS_FOUND, GNRL_EV_WEB_URL_BLOCKED, KLSRV_HOST_STATUS_CRITICAL, KLSRV_HOST_STATUS_WARNING, KLSRV_HOST_STATUS_OK |
Microsoft Windows, журнал PowerShell/Operational | 4104, 4103 |
Microsoft Windows, журнал Security | 1102, 4624, 4657, 4662, 4663, 4656, 4688 (+command line), 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4768, 4769, 4771, 5140, 5145 |
Microsoft Windows, журнал System | 7036, 7045 |
Microsoft Windows: Windows, журнал Windows Defender \ Operational | 1006, 1015, 1116, 1117, 5001, 5010, 5012, 5101 |
Linux, события auditd | USER_AUTH, USER_LOGIN, execve |
KATA | TAA has tripped on events database |
KUMA | События, созданные в результате срабатывания корреляционных правил. |
Network devices | События сетевых устройств, содержащие IP-адрес и порт источника и IP-адрес и порт назначения. |
