Поиск угроз по базе событий

При работе в веб-интерфейсе приложения вы можете формировать поисковые запросы и использовать IOC-файлы для поиска угроз по базе событий в рамках тех тенантов, к данным которых у вас есть доступ.

Для формирования поисковых запросов по базе событий вы можете использовать режим конструктора или режим исходного кода.

В режиме конструктора вы можете создавать и изменять поисковые запросы с помощью раскрывающихся списков с вариантами типа значения поля и операторов.

В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд.

Вы можете загрузить IOC-файл и искать события по условиям, заданным в этом IOC-файле.

Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности также могут создавать правила TAA (IOA) на основе условий поиска событий.

Поиск событий в режиме конструктора

Чтобы задать условия поиска событий в режиме конструктора:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, закладку Конструктор.

   Откроется форма поиска событий.

2. В раскрывающемся списке выберите критерий для поиска событий.

   Вы можете посмотреть описание критериев для поиска событий в разделе Критерии для поиска событий.

3. В раскрывающемся списке выберите оператор.

   Вы можете посмотреть список доступных операторов в разделе Операторы.

   Для каждого типа значения поля будет доступен свой релевантный набор операторов. Например, при выборе типа значения поля EventType будут доступны операторы = и !=.

4. В зависимости от выбранного типа значения поля выполните одно из следующих действий:
   • Укажите в поле один или несколько символов, по которым вы хотите выполнить поиск событий.
   • В раскрывающемся списке выберите вариант значения поля, по которому вы хотите выполнить поиск событий.

   Например, для поиска полного совпадения по имени пользователя введите имя пользователя.

5. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
6. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
7. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
8. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
9. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

10. Нажмите на кнопку Найти.

    Отобразится таблица событий, соответствующих условиям поиска.

    Если вы используете

    режим распределенного решения

    

    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

    

    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

    и
    мультитенантности

    

    Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

    

    Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

    , отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

11. Нажмите на имя того сервера, события которого вы хотите просмотреть.

Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

Критерии для поиска событий

Для поиска событий доступны следующие критерии:

• Общие сведения:
  • Host – имя хоста.
  • HostIP – IP-адрес хоста.
  • EventType – тип события.
  • UserName – имя пользователя.
  • OsFamily – семейство операционной системы.
  • OsVersion – версия операционной системы, используемой на хосте.
• Свойства TAA:
  • IOAId – идентификатор правила TAA (IOA).
  • IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  • IOATechnique – техника MITRE.
  • IOATactics – тактика MITRE.
  • IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
  • IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
• Свойства файла:
  • CreationTime – время создания события.
  • FileName – имя файла.
  • FilePath – путь к директории, в которой располагается файл.
  • FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
  • ModificationTime – время изменения файла.
  • FileSize – размер файла.
  • MD5 – MD5-хеш файла.
  • SHA256 – SHA256-хеш файла.
  • SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
• Процессы Linux:
  • LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
  • RealUserName – имя пользователя, назначенное ему при регистрации в системе.
  • EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
  • Environment – переменные окружения.
  • ProcessType – тип процесса.
  • OperationResult – результат операции.
  • FileOwnerUserName – имя владельца файла.
  • RealGroupName – имя группы пользователя.
  • EffectiveGroupName - имя группы пользователя, которое используется для работы.
• Запущен процесс:
  • PID – идентификатор процесса.
  • ParentFileFullName – путь к файлу родительского процесса.
  • ParentMD5 – MD5-хеш файла родительского процесса.
  • ParentSHA256 – SHA256-хеш файла родительского процесса.
  • StartupParameters – параметры запуска процесса.
  • ParentPID – идентификатор родительского процесса.
  • ParentStartupParameters – параметры запуска родительского процесса.
• Удаленное соединение:
  • HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
  • ConnectionDirection – направление соединения (входящее или исходящее).
  • LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
  • RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
  • RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
  • RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
  • URl – адрес ресурса, к которому произведен запрос HTTP.
• Изменение в реестре:
  • RegistryKey – путь к ключу реестра.
  • RegistryValueName – имя параметра реестра.
  • RegistryValue – значение параметра реестра.
  • RegistryOperationType – тип операции с реестром.
  • RegistryPreviousKey – предыдущий путь к ключу реестра.
  • RegistryPreviousValue – предыдущее имя параметра реестра.
• Журнал событий ОС:
  • WinLogEventID – идентификатор типа события безопасности в журнале Windows.
  • LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
  • WinLogName – имя журнала.
  • WinLogEventRecordID – идентификатор записи в журнале.
  • WinLogProviderName – идентификатор системы, записавшей событие в журнал.
  • WinLogTargetDomainName – доменное имя удаленного компьютера.
  • WinLogObjectName – имя объекта, инициировавшего событие.
  • WinlogPackageName – имя пакета, инициировавшего событие.
  • WinLogProcessName – имя процесса, инициировавшего событие.
• Обнаружение и результат обработки:
  • DetectName – имя обнаруженного объекта.
  • RecordID – идентификатор сработавшего правила.
  • ProcessingMode – режим проверки.
  • ObjectName – имя объекта.
  • ObjectType – тип объекта.
  • ThreatStatus – режим обнаружения.
  • UntreatedReason – статус обработки события.
  • ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
  • ObjectContentType (for AMSI events too) – тип содержимого скрипта.
• Интерактивный ввод команд в консоли:
  • InteractiveInputText – текст, введенный в командную строку.
  • InteractiveInputType – тип ввода (консоль или канал).
• Изменен файл:
  • FileOperationType – тип операции с файлом.
  • FilePreviousPath – путь к директории, в которой файл располагался ранее.
  • FilePreviousName - предыдущее имя файла.
  • FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
  • DroppedFileType – тип измененного файла.

Операторы

Доступны следующие операторы:

• =.
• !=.
• CONTAINS.
• !CONTAINS.
• STARTS.
• !STARTS.
• ENDS.
• !ENDS.
• >.
• <.

Поиск событий в режиме исходного кода

Чтобы задать условия поиска событий в режиме исходного кода:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, вкладку Редактор кода.

   Откроется форма с полем ввода условий поиска событий в режиме исходного кода.

2. Введите условия поиска событий, используя критерии, операторы, логические операторы OR и AND, а также скобки для создания групп условий.

   Условие поиска должно соответствовать следующему синтаксису: <критерий> <оператор> <значение критерия>.

   Пример: EventType = "filechange" AND ( FileName CONTAINS "example" OR UserName = "example" )

3. Если вы хотите скрыть специальные символы разделителей строк в окне редактирования, нажмите на кнопку Перевести спецсимволы в переносы строк . Если вы хотите отобразить специальные символы разделителей строк, нажмите на кнопку Перевести переносы строк в спецсимволы .

   При использовании сложного условия поиска, состоящего из нескольких значений критерия, каждое значение критерия должно находиться на новой строке в окне редактирования исходного кода. Для отображения переноса на новую строку в Kaspersky Anti Targeted Attack Platform используются специальные символы разделителей строк (^r ^n). Вам необходимо контролировать правильность расстановки специальных символов разделителей строк для выполнения корректного поиска событий.

4. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
5. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

6. Нажмите на кнопку Найти.

   Отобразится таблица событий, соответствующих условиям поиска.

   Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

7. Нажмите на имя того сервера, события по которому вы хотите просмотреть.

   Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

Сортировка событий в таблице

Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.

Чтобы отсортировать события в таблице событий:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

   Откроется окно Поиск угроз.

2. Задайте условия для поиска событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий, соответствующих условиям поиска.

3. Если вы хотите отсортировать события по времени, справа от названия столбца Время события нажмите на один из значков:
   •  – новые события отобразятся вверху таблицы.
   •  – старые события отобразятся вверху таблицы.
4. Если вы хотите отсортировать события по названию типов событий, справа от названия столбца Тип события нажмите на один из значков:
   •  – сортировка выполнится по алфавиту А–Я.
   •  – сортировка выполнится по алфавиту Я–А.
5. Если вы хотите отсортировать события по именам хостов, на которых были выполнены обнаружения, справа от названия столбца Хост нажмите на один из значков:
   •  – сортировка выполнится по алфавиту А–Я.
   •  – сортировка выполнится по алфавиту Я–А.
6. Если вы хотите отсортировать события по именам пользователей хостов, справа от названия Имя пользователя нажмите на один из значков:
   •  – сортировка выполнится по алфавиту А–Я.
   •  – сортировка выполнится по алфавиту Я–А.
7. Если вы хотите сгруппировать события по именам хостов или по названию типов событий, выберите в раскрывающемся списке Группировать по одно из значений:
   • Группировать по имени хоста, если хотите сгруппировать события по именам хостов.
   • Группировать по типу события, если хотите сгруппировать события по названиям типов событий.

   Если события были отсортированы по полю Хост или Тип события, при группировке событий по аналогичному признаку результат сортировки сбрасывается. Чтобы вернуться к результатам сортировки, выберите в раскрывающемся списке Группировать по значение Группировать по.

По умолчанию события в таблице отсортированы по времени: новые события располагаются вверху таблицы.

Вы можете отсортировать события только по одному признаку.

При сортировке по типу события на русском языке события сортируются в соответствии с внутренним наименованием типа события на английском языке.

Изменение условий поиска событий

Чтобы изменить условия поиска событий, выполните следующие действия в разделе Поиск угроз окна веб-интерфейса приложения:

1. Нажмите на форму с условиями поиска событий в верхней части окна.
2. Выберите одну из следующих закладок:
   • Конструктор, если вы хотите изменить условия поиска событий в режиме конструктора.
   • Редактор кода, если вы хотите изменить условия поиска событий в режиме исходного кода.
3. Внесите необходимые изменения.
4. Нажмите на одну из следующих кнопок:
   • Обновить, если вы хотите обновить текущий поиск событий новыми условиями.
   • Новый поиск, если вы хотите выполнить новый поиск событий.

Отобразится таблица событий, соответствующих условиям поиска.

Поиск событий по результатам их обработки в приложениях EPP

Чтобы выполнить поиск событий по результатам их обработки в

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, закладку Конструктор.

   Откроется форма поиска событий.

2. Если вы хотите выполнить поиск событий по статусу обработки, выполните следующие действия:
   1. В раскрывающемся списке критериев поиска событий в группе Обнаружение и результат обработки выберите критерий ThreatStatus.
   2. В раскрывающемся списке операторов сравнения выберите один из вариантов:
      • = (равно);
      • != (не равно).
   3. В раскрывающемся списке статусов обработки события выберите один из вариантов:
      • Объект не заражен.
      • Объект вылечен.
      • Ложное срабатывание.
      • Объект добавлен пользователем.
      • Объект добавлен в исключения.
      • Объект удален.
      • Объект помещен на карантин.
      • Объект не найден.
      • Выполнен откат к предыдущему состоянию.
      • Объект не поддается обработке.
      • Объект не обработан.
      • Обработка прервана.
      • Неизвестно.
3. Если вы хотите выполнить поиск событий по причинам, по которым они не были обработаны, выполните следующие действия:
   1. В раскрывающемся списке критериев поиска событий в группе Обнаружение и результат обработки выберите критерий UntreatedReason.
   2. В раскрывающемся списке операторов сравнения выберите один из вариантов:
      • = (равно);
      • != (не равно).
   3. В раскрывающемся списке причин, по которым события не были обработаны, выберите один из вариантов:
      • Объект уже был обработан.
      • Приложение работает в режиме Только отчет.
      • Не удалось создать резервную копию объекта.
      • Не удалось создать копию объекта.
      • Устройство не готово.
      • Объект заблокирован.
      • Нет прав на выполнение действия.
      • Объект невозможно вылечить.
      • Объект невозможно перезаписать.
      • Объект не найден.
      • Нет места на диске.
      • Обработка отменена.
      • Действие отложено.
      • Задача на обработку прервана.
      • Ошибка чтения данных.
      • Нет данных.
      • Объект является критическим системным.
      • Ошибка записи данных.
      • Запись данных не поддерживается.
      • Объект защищен от записи.
4. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
5. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
6. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
7. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
8. Если вы выбрали период отображения найденных событий Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

9. Нажмите на кнопку Найти.

Отобразится таблица событий, соответствующих условиям поиска.

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

При создании IOC-файла ознакомьтесь со списком IOC-терминов, которые можно использовать для поиска событий в разделе Поиск угроз. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файл по ссылке ниже.

IOC-термины для поиска событий в разделе Поиск угроз

Чтобы загрузить IOC-файл и искать события по условиям, заданным в этом IOC-файле:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файлов.

3. Выберите IOC-файл, который хотите загрузить, и нажмите на кнопку Открыть.

   IOC-файл загрузится.

   На закладке Редактор кода в форме с условиями поиска событий отобразятся условия, заданные в загруженном IOC-файле.

   Вы можете искать события по этим условиям. Вы также можете изменить условия, заданные в загруженном IOC-файле, или добавить условия поиска событий в режиме исходного кода.

4. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
5. Если вы выбрали период отображения найденных событий Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

6. Нажмите на кнопку Найти.

Отобразится таблица событий, соответствующих условиям, заданным в IOC-файле.

Создание правила TAA (IOA) на основе условий поиска событий

Чтобы создать правило TAA (IOA) на основе условий поиска событий:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
3. Нажмите на кнопку Сохранить как правило TAA (IOA).

   Откроется окно Новое правило TAA (IOA).

4. В поле Имя введите имя правила.
5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в приложении может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.