Kaspersky Anti Targeted Attack (KATA) Platform

Критерии для поиска событий

14 мая 2024

ID 249034

Для поиска событий доступны следующие критерии:

  • Общие сведения:
    • Host – имя хоста.
    • HostIP – IP-адрес хоста.
    • EventType – тип события.
    • UserName – имя пользователя.
    • OsFamily – семейство операционной системы.
    • OsVersion – версия операционной системы, используемой на хосте.
  • Свойства TAA:
    • IOAId – идентификатор правила TAA (IOA).
    • IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
    • IOATechnique – техника MITRE.
    • IOATactics – тактика MITRE.
    • IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
    • IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
  • Свойства файла:
    • CreationTime – время создания события.
    • FileName – имя файла.
    • FilePath – путь к директории, в которой располагается файл.
    • FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
    • ModificationTime – время изменения файла.
    • FileSize – размер файла.
    • MD5 – MD5-хеш файла.
    • SHA256 – SHA256-хеш файла.
    • SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
  • Процессы Linux:
    • LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
    • RealUserName – имя пользователя, назначенное ему при регистрации в системе.
    • EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
    • Environment – переменные окружения.
    • ProcessType – тип процесса.
    • OperationResult – результат операции.
    • FileOwnerUserName – имя владельца файла.
    • RealGroupName – имя группы пользователя.
    • EffectiveGroupName - имя группы пользователя, которое используется для работы.
  • Запущен процесс:
    • PID – идентификатор процесса.
    • ParentFileFullName – путь к файлу родительского процесса.
    • ParentMD5 – MD5-хеш файла родительского процесса.
    • ParentSHA256 – SHA256-хеш файла родительского процесса.
    • StartupParameters – параметры запуска процесса.
    • ParentPID – идентификатор родительского процесса.
    • ParentStartupParameters – параметры запуска родительского процесса.
  • Удаленное соединение:
    • HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
    • ConnectionDirection – направление соединения (входящее или исходящее).
    • LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
    • LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
    • RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
    • RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
    • RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
    • URl – адрес ресурса, к которому произведен запрос HTTP.
  • Изменение в реестре:
    • RegistryKey – путь к ключу реестра.
    • RegistryValueName – имя параметра реестра.
    • RegistryValue – значение параметра реестра.
    • RegistryOperationType – тип операции с реестром.
    • RegistryPreviousKey – предыдущий путь к ключу реестра.
    • RegistryPreviousValue – предыдущее имя параметра реестра.
  • Журнал событий ОС:
    • WinLogEventID – идентификатор типа события безопасности в журнале Windows.
    • LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
    • WinLogName – имя журнала.
    • WinLogEventRecordID – идентификатор записи в журнале.
    • WinLogProviderName – идентификатор системы, записавшей событие в журнал.
    • WinLogTargetDomainName – доменное имя удаленного компьютера.
    • WinLogObjectName – имя объекта, инициировавшего событие.
    • WinlogPackageName – имя пакета, инициировавшего событие.
    • WinLogProcessName – имя процесса, инициировавшего событие.
  • Обнаружение и результат обработки:
    • DetectName – имя обнаруженного объекта.
    • RecordID – идентификатор сработавшего правила.
    • ProcessingMode – режим проверки.
    • ObjectName – имя объекта.
    • ObjectType – тип объекта.
    • ThreatStatus – режим обнаружения.
    • UntreatedReason – статус обработки события.
    • ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
    • ObjectContentType (for AMSI events too) – тип содержимого скрипта.
  • Интерактивный ввод команд в консоли:
    • InteractiveInputText – текст, введенный в командную строку.
    • InteractiveInputType – тип ввода (консоль или канал).
  • Изменен файл:
    • FileOperationType – тип операции с файлом.
    • FilePreviousPath – путь к директории, в которой файл располагался ранее.
    • FilePreviousName - предыдущее имя файла.
    • FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
    • DroppedFileType – тип измененного файла.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!