[KL] P001 "Creation of executable files by office applications"

Этот плейбук содержит действие по реагированию Реагирование с помощью KASAP и может использоваться только в качестве шаблона. Если вы хотите запустить плейбук, нажмите на кнопку Дублировать и изменить. В открывшемся окне Настроить плейбук в разделе Алгоритм укажите идентификатор группы KASAP для параметра groupId.

Перед использованием плейбука вам нужно настроить обогащение в KUMA, чтобы получить журнал событий Windows.

По умолчанию плейбук запускает действия по реагированию для всех пользователей в алерте. Если вы хотите, чтобы плейбук запускал действия по реагированию только для учетной записи атакуемого, вы можете сделать следующее:

  1. В KUMA настройте параметры правила обогащения. Для обогащения событий, для которых выбран тип События в качестве параметра Тип источника указано значение VictimUserID в Целевое поле.
  2. В разделе плейбука Алгоритм указать and .IsVictim в параметре актива как показано ниже:

    "assets": "${[ alert.Assets[] | select(.Type == \"user\" and .IsVictim) | .ID]}".

Предустановленный плейбук [KL]P001 "Creation of executable files by office applications" позволяет предотвратить использование злоумышленником офисных приложений, например, для выполнения фишинговой атаки, когда пользователь открывает зараженный документ, а затем документ создает исполняемый файл и выполняет его.

Алерт, запускающий плейбук, создается в соответствии с правилом корреляции Creation of executable files by office applications. Это правило помогает обнаруживать создание файлов с подозрительными расширениями, такими как скрипты и исполняемые файлы, от имени офисных приложений.

Раздел плейбука Триггер содержит следующее выражение:

[.OriginalEvents[] | .ExternalID == "R350"] | any

Во время выполнения этот плейбук запускает следующие действия по реагированию:

  1. Реагирование с помощью Active Directory и сброс паролей как атакующего, так и учетной записи атакуемого.

    Если во время выполнения действия по реагированию возникает ошибка, плейбук прерывается.

  2. Реагирование с помощью KASAP и присвоение учетной записи курса информационной безопасности.

    Если во время выполнения действия по реагированию возникает ошибка, выполнение плейбука продолжается.

Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:

{

"dslSpecVersion": "1.1.0",

"version": "1",

"actionSpecVersion": "1",

"executionFlow": [

{

"action": {

"function": {

"type": "resetLDAPPassword",

"assets": "${[ alert.Assets[] | select(.Type == \"user\") | .ID]}"

},

"onError": "stop"

}

},

{

"action": {

"function": {

"type": "assignKasapGroup",

"assets": "${[ alert.Assets[] | select(.Type == \"user\") | .ID]}",

"params": {

"groupId": "SET KASAP GROUP ID"

}

},

"onError": "continue"

}

}

]

}

В начало