[KL] P001 "Creation of executable files by office applications"
Этот плейбук содержит действие по реагированию Реагирование с помощью KASAP и может использоваться только в качестве шаблона. Если вы хотите запустить плейбук, нажмите на кнопку Дублировать и изменить. В открывшемся окне Настроить плейбук в разделе Алгоритм укажите идентификатор группы KASAP для параметра groupId
.
Перед использованием плейбука вам нужно настроить обогащение в KUMA, чтобы получить журнал событий Windows.
По умолчанию плейбук запускает действия по реагированию для всех пользователей в алерте. Если вы хотите, чтобы плейбук запускал действия по реагированию только для учетной записи атакуемого, вы можете сделать следующее:
- В KUMA настройте параметры правила обогащения. Для обогащения событий, для которых выбран тип События в качестве параметра Тип источника указано значение VictimUserID в Целевое поле.
- В разделе плейбука Алгоритм указать
and .IsVictim
в параметре актива как показано ниже:"assets": "${[ alert.Assets[] | select(.Type == \"user\" and .IsVictim) | .ID]}"
.
Предустановленный плейбук [KL]P001 "Creation of executable files by office applications" позволяет предотвратить использование злоумышленником офисных программ, например, для выполнения фишинговой атаки, когда пользователь открывает зараженный документ, а затем документ создает исполняемый файл и выполняет его.
Алерт, запускающий плейбук, создается в соответствии с правилом корреляции Creation of executable files by office applications. Это правило помогает обнаруживать создание файлов с подозрительными расширениями, такими как скрипты и исполняемые файлы, от имени офисных программ.
Раздел плейбука Триггер содержит следующее выражение:
[.OriginalEvents[] | .ExternalID == "R350"] | any
Во время выполнения этот плейбук запускает следующие действия по реагированию:
- Реагирование с помощью Active Directory и сброс паролей как атакующего, так и учетной записи атакуемого.
Если во время выполнения действия по реагированию возникает ошибка, плейбук прерывается.
- Реагирование с помощью KASAP и присвоение учетной записи курса информационной безопасности.
Если во время выполнения действия по реагированию возникает ошибка, выполнение плейбука продолжается.
Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:
{
"dslSpecVersion": "1.0.0",
"version": "1",
"responseActionsSpecVersion": "1",
"executionFlow": [
{
"responseAction": {
"function": {
"type": "resetLDAPPassword",
"assets": "${[ alert.Assets[] | select(.Type == \"user\") | .ID]}"
},
"onError": "stop"
}
},
{
"responseAction": {
"function": {
"type": "assignKasapGroup",
"assets": "${[ alert.Assets[] | select(.Type == \"user\") | .ID]}",
"params": {
"groupId": "SET KASAP GROUP ID"
}
},
"onError": "continue"
}
}
]
}