Перед использованием плейбука вам нужно выполнить в KUMA следующее:
Предопределенный плейбук [KL] P003 "Suspicious child process from wmiprvse.exe" позволяет обнаруживать пары родительских и дочерних процессов, которые отклоняются от нормы и должны рассматриваться как подозрительные.
Алерт, который запускает плейбук, создается в соответствии с правилом корреляции R297_Suspicious child process from wmiprvse.exe. Это правило помогает обнаружить запуск подозрительных процессов от имени wmiprvse.exe.
Раздел плейбука Триггер содержит следующее выражение:
[.OriginalEvents[] | .ExternalID == "R297"] | any
Во время выполнения этот плейбук запускает следующие действия по реагированию:
По умолчанию сетевые диски не проверяются во избежание перегрузки системы. Если вы хотите проверить сетевые диски, вам нужно продублировать этот плейбук и установить для параметра allowScanNetworkDrives
значение true
в разделе Алгоритм.
Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:
{
"dslSpecVersion": "1.1.0",
"version": "1",
"actionSpecVersion": "1",
"executionFlow": [
{
"action": {
"function": {
"type": "blockLDAPAccount",
"assets": "${[ alert.Assets[] | select(.Type == \"user\" and .IsAttacker) | .ID]}"
},
"onError": "stop"
}
},
{
"loop": {
"input": "${ [alert.OriginalEvents[] | [select(.DestinationProcessName != null and .DestinationProcessName != \"\")][] | .DestinationProcessName] }",
"onError": "stop",
"steps": [
{
"action": {
"function": {
"type": "killProcess",
"params": {
"path": "${ .[0] }"
},
"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"
}
}
}
]
}
},
{
"action": {
"function": {
"type": "avScan",
"params": {
"scope": {
"area": "full",
"allowScanNetworkDrives": false
},
"wait": false
},
"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"
},
"onError": "stop"
}
}
]
}
Если во время выполнения любого действия по реагированию возникает ошибка, плейбук прерывается.
В начало