[KL] P002 "Windows Event Log was cleared"
По умолчанию этот плейбук работает в режиме Ручной. Не рекомендуется переключать этот плейбук в режим работы Автоматический или Обучение.
Перед использованием плейбука вам нужно выполнить в KUMA следующее:
- Настроить параметры правила обогащения для обогащения событий с выбранным типом События в качестве параметра Тип источника. Указать значение AttackerUserID для параметра Целевое поле.
- Настроить обогащение в KUMA, чтобы получить журнал событий Windows.
Предопределенный плейбук [KL] P002 "Windows Event Log was cleared" позволяет предотвратить очистку журнала событий Windows атакующим, так как журнал событий содержит данные телеметрии, достаточные для расследования злонамеренных действий атакующего.
Инцидент, запускающий плейбук, содержит один или несколько алертов, созданных в соответствии с правилом корреляции Windows Event Log was cleared. Это правило помогает определить, когда журналы событий Windows очищаются или удаляются с помощью утилиты wevutil, пользовательского интерфейса или команд PowerShell. Чтобы включить создание инцидента, вам необходимо настроить правила сегментации.
Раздел плейбука Триггер содержит следующее выражение:
[.Alerts[] | .OriginalEvents[] | .ExternalID == "R050"] | any
Во время выполнения этот плейбук запускает действие по реагированию с помощью Active Directory и блокирует учетную запись атакующего.
Если во время выполнения действия по реагированию возникает ошибка, плейбук прерывается.
Если один или несколько алертов в инциденте генерируются другим правилом корреляции, плейбук не применяется к этим алертам.
Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:
{
"dslSpecVersion": "1.0.0",
"version": "1",
"responseActionsSpecVersion": "1",
"executionFlow": [
{
"responseAction": {
"function": {
"type": "blockLDAPAccount",
"assets": "${[ incident.Alerts[] | select(.OriginalEvents[] | .ExternalID == \"R050\") | .Assets[] | select(.Type == \"user\" and .IsAttacker) | .ID]}"
},
"onError": "stop"
}
}
]
}