[KL] P003 "Suspicious child process from wmiprvse.exe"

Перед использованием плейбука вам нужно выполнить в KUMA следующее:

Настроить параметры правила обогащения для обогащения событий с выбранным типом События в качестве параметра Тип источника. Указать значение AttackerUserID для параметра Целевое поле.
Настроить обогащение в KUMA, чтобы получить журнал событий Windows.

Предопределенный плейбук [KL] P003 "Suspicious child process from wmiprvse.exe" позволяет обнаруживать пары родительских и дочерних процессов, которые отклоняются от нормы и должны рассматриваться как подозрительные.

Алерт, который запускает плейбук, создается в соответствии с правилом корреляции R297_Suspicious child process from wmiprvse.exe. Это правило помогает обнаружить запуск подозрительных процессов от имени wmiprvse.exe.

Раздел плейбука Триггер содержит следующее выражение:

[.OriginalEvents[] | .ExternalID == "R297"] | any

Во время выполнения этот плейбук запускает следующие действия по реагированию:

Действие по реагированию с помощью Active Directory с последующей блокировкой учетной записи атакующего.
Прерывание процесса на устройстве, зарегистрированном в алерте.
Запускается проверка на наличие вредоносных приложений, а затем выполняется полная проверка устройства, на котором обнаружен алерт.
По умолчанию сетевые диски не проверяются во избежание перегрузки системы. Если вы хотите проверить сетевые диски, вам нужно продублировать этот плейбук и установить для параметра allowScanNetworkDrives значение true в разделе Алгоритм.

Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:

{

"dslSpecVersion": "1.1.0",

"version": "1",

"actionSpecVersion": "1",

"executionFlow": [

{

"action": {

"function": {

"type": "blockLDAPAccount",

"assets": "${[ alert.Assets[] | select(.Type == \"user\" and .IsAttacker) | .ID]}"

"onError": "stop"

}

{

"loop": {

"input": "${ [alert.OriginalEvents[] | [select(.DestinationProcessName != null and .DestinationProcessName != \"\")][] | .DestinationProcessName] }",

"onError": "stop",

"steps": [

{

"action": {

"function": {

"type": "killProcess",

"params": {

"path": "${ .[0] }"

"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"

}

]

}

{

"action": {

"function": {

"type": "avScan",

"params": {

"scope": {

"area": "full",

"allowScanNetworkDrives": false

"wait": false

"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"

"onError": "stop"

}

]

}

Если во время выполнения любого действия по реагированию возникает ошибка, плейбук прерывается.

Идентификатор статьи: 271772, Последнее изменение: 18 апр. 2025 г.

В начало