Критерии для поиска событий
Критерии для поиска событий
12 августа 2024
ID 249034
Для поиска событий доступны следующие критерии:
- Общие сведения:
- Host – имя хоста.
- HostIP – IP-адрес хоста.
- EventType – тип события.
- UserName – имя пользователя.
- OsFamily – семейство операционной системы.
- OsVersion – версия операционной системы, используемой на хосте.
- Свойства TAA:
- IOAId – идентификатор правила TAA (IOA).
- IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
- IOATechnique – техника MITRE.
- IOATactics – тактика MITRE.
- IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
- IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
- Свойства файла:
- CreationTime – время создания события.
- FileName – имя файла.
- FilePath – путь к директории, в которой располагается файл.
- FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
- ModificationTime – время изменения файла.
- FileSize – размер файла.
- MD5 – MD5-хеш файла.
- SHA256 – SHA256-хеш файла.
- SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
- Процессы Linux:
- LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
- RealUserName – имя пользователя, назначенное ему при регистрации в системе.
- EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
- Environment – переменные окружения.
- ProcessType – тип процесса.
- OperationResult – результат операции.
- FileOwnerUserName – имя владельца файла.
- RealGroupName – имя группы пользователя.
- EffectiveGroupName - имя группы пользователя, которое используется для работы.
- Запущен процесс:
- PID – идентификатор процесса.
- ParentFileFullName – путь к файлу родительского процесса.
- ParentMD5 – MD5-хеш файла родительского процесса.
- ParentSHA256 – SHA256-хеш файла родительского процесса.
- StartupParameters – параметры запуска процесса.
- ParentPID – идентификатор родительского процесса.
- ParentStartupParameters – параметры запуска родительского процесса.
- Удаленное соединение:
- HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
- ConnectionDirection – направление соединения (входящее или исходящее).
- LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
- LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
- RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
- RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
- RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
- URl – адрес ресурса, к которому произведен запрос HTTP.
- Изменение в реестре:
- RegistryKey – путь к ключу реестра.
- RegistryValueName – имя параметра реестра.
- RegistryValue – значение параметра реестра.
- RegistryOperationType – тип операции с реестром.
- RegistryPreviousKey – предыдущий путь к ключу реестра.
- RegistryPreviousValue – предыдущее имя параметра реестра.
- Журнал событий ОС:
- WinLogEventID – идентификатор типа события безопасности в журнале Windows.
- LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
- WinLogName – имя журнала.
- WinLogEventRecordID – идентификатор записи в журнале.
- WinLogProviderName – идентификатор системы, записавшей событие в журнал.
- WinLogTargetDomainName – доменное имя удаленного компьютера.
- WinLogObjectName – имя объекта, инициировавшего событие.
- WinlogPackageName – имя пакета, инициировавшего событие.
- WinLogProcessName – имя процесса, инициировавшего событие.
- Обнаружение и результат обработки:
- DetectName – имя обнаруженного объекта.
- RecordID – идентификатор сработавшего правила.
- ProcessingMode – режим проверки.
- ObjectName – имя объекта.
- ObjectType – тип объекта.
- ThreatStatus – режим обнаружения.
- UntreatedReason – статус обработки события.
- ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
- ObjectContentType (for AMSI events too) – тип содержимого скрипта.
- Интерактивный ввод команд в консоли:
- InteractiveInputText – текст, введенный в командную строку.
- InteractiveInputType – тип ввода (консоль или канал).
- Изменен файл:
- FileOperationType – тип операции с файлом.
- FilePreviousPath – путь к директории, в которой файл располагался ранее.
- FilePreviousName - предыдущее имя файла.
- FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
- DroppedFileType – тип измененного файла.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!