Использование Incident Action

После настройки поискового задания пользователь может настроить Incident Action. В статье рассмотрен пример создания инцидента с использованием компонента Планировщик заданий. Информация по заполняемым параметрам приведена в статье.

Первым шагом заполняются имя и описание поискового задания:

• Имя - RULE - CS - Sysmon - SystemTimeDiscovery
• Описание - Злоумышленник может получить информацию о системном времени и/или часовом поясе локальной или удаленной системы

Далее заполняется информация по инциденту с указанием поискового запроса и настроек времени:

source sysmon_operational-*
| search event.code="1" AND rule_name_technique_id="T1124"
| rename rule_name_technique_id as mitre_technique_id
| table @timestamp, mitre_technique_id, event.action, host.name, host.ip, user, original_file_name, image, parent_image, command_line, parent_command_line, process_id, parent_process_id, process_guid, parent_process_guid

• Временной интервал - Последние 30 минут
• Временное поле - @timestamp
• Длительность блокировки (сек) - 60

Пример заполнения расписания поискового задания и настроек подавления:

• Тип расписания - Cron-выражение
• Cron - 3-59/5 * * * *
• Смещение в секундах - 0
• Подавление - 60 минут
• Поля для подавления - user
• Глобальные параметры
  • Ключ - guid
  • Значение - guid()

Для фиксации инцидентов с помощью поискового задания необходимо во вкладке Активные действия добавить действие Incident Action. Заполнение параметров поддерживает использование токенов (подробнее о токенах в статье).

В пункте Поля из результатов поиска необходимо заполнить поля из поискового запроса и в качестве значения передать none. В таком случае при просмотре инцидента поля сохранят название в соответствии с именами в поле ключ.

Сохраните поисковое задание и дождитесь времени выполнения. Для просмотра инцидента откройте в навигационном меню модуль Менеджер инцидентов.

Из рисунка ниже видно, что Smart Monitor зафиксировал инцидент. В описании инцидента указана информация по обнаруженному событию.