[KL] P003 "Suspicious child process from wmiprvse.exe"

Перед использованием плейбука вам нужно выполнить в KUMA следующее:

• Настроить параметры правила обогащения для обогащения событий с выбранным типом События в качестве параметра Тип источника. Указать значение AttackerUserID для параметра Целевое поле.
• Настроить обогащение в KUMA, чтобы получить журнал событий Windows.

Предопределенный плейбук [KL] P003 "Suspicious child process from wmiprvse.exe" позволяет обнаруживать пары родительских и дочерних процессов, которые отклоняются от нормы и должны рассматриваться как подозрительные.

Алерт, который запускает плейбук, создается в соответствии с правилом корреляции R297_Suspicious child process from wmiprvse.exe. Это правило помогает обнаружить запуск подозрительных процессов от имени wmiprvse.exe.

Раздел плейбука Триггер содержит следующее выражение:

[.OriginalEvents[] | .ExternalID == "R297"] | any

Во время выполнения этот плейбук запускает следующие действия по реагированию:

1. Действие по реагированию с помощью Active Directory с последующей блокировкой учетной записи атакующего.
2. Прерывание процесса на устройстве, зарегистрированном в алерте.
3. Запускается проверка на наличие вредоносных программ, а затем выполняется полная проверка устройства, на котором обнаружено предупреждение.

   По умолчанию сетевые диски не проверяются во избежание перегрузки системы. Если вы хотите проверить сетевые диски, вам нужно продублировать этот плейбук и установить для параметра allowScanNetworkDrives значение true в разделе Алгоритм.

Раздел плейбука Алгоритм содержит следующую последовательность действий по реагированию:

{

"dslSpecVersion": "1.0.0",

"version": "1",

"responseActionsSpecVersion": "1",

"executionFlow": [

{

"responseAction": {

"function": {

"type": "blockLDAPAccount",

"assets": "${[ alert.Assets[] | select(.Type == \"user\" and .IsAttacker) | .ID]}"

},

"onError": "stop"

}

},

{

"split": {

"input": "${ [alert.OriginalEvents[] | [select(.DestinationProcessName != null and .DestinationProcessName != \"\")][] | .DestinationProcessName] }",

"onError": "stop",

"steps": [

{

"responseAction": {

"function": {

"type": "killProcess",

"params": {

"path": "${ .[0] }"

},

"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"

}

}

}

]

}

},

{

"responseAction": {

"function": {

"type": "avScan",

"params": {

"scope": {

"area": "full",

"allowScanNetworkDrives": false

},

"wait": false

},

"assets": "${[ alert.Assets[] | select(.Type == \"host\") | .ID]}"

},

"onError": "stop"

}

}

]

}

Если во время выполнения любого действия по реагированию возникает ошибка, плейбук прерывается.