M
Коллеги, добрый вечер. Подскажите пожалуйста, как правильно заполнять поля справочника MITRE_ATTCK_whitelist . Интересует, где взять user_id, что писать в rule и host
Size: a a a
2021 March 02
M
мне нужно разрешить все хосты, прав ли я , если укажу any в host, rule - allow?
SF
мне нужно разрешить все хосты, прав ли я , если укажу any в host, rule - allow?
Используйте "*" без кавычек
M
Используйте "*" без кавычек
Спасибо
2021 March 03
SF
Кто знает зачем тут datafield7? 🤨
ММ
похоже у кого-то в голове крутились датафилд ))
RS
Низачем)
ММ
Низачем)
не, ну может на будущее заложили?
RS
Релиз какой?
SF
23.1.3482
RS
В 24 уже исправили
RS
Но спасибо за бдительность
AS
мне нужно разрешить все хосты, прав ли я , если укажу any в host, rule - allow?
Добрый день!
А какая стоит задача?
Если нужно включить или отключить часть правил, то работать нужно с Rules_Operation_Mode.
А если Вы работаете с фолзами: то в первую очередь стоит ознакомиться с описанием пакетов экспертизы ATT&CK* в Knowledge Base. Разрешать всё и всем не рекомендуется, правильнее будет разобраться какое именно правило фолзит и донастроить его по subject.id и specific_value
А какая стоит задача?
Если нужно включить или отключить часть правил, то работать нужно с Rules_Operation_Mode.
А если Вы работаете с фолзами: то в первую очередь стоит ознакомиться с описанием пакетов экспертизы ATT&CK* в Knowledge Base. Разрешать всё и всем не рекомендуется, правильнее будет разобраться какое именно правило фолзит и донастроить его по subject.id и specific_value
M
Добрый день!
А какая стоит задача?
Если нужно включить или отключить часть правил, то работать нужно с Rules_Operation_Mode.
А если Вы работаете с фолзами: то в первую очередь стоит ознакомиться с описанием пакетов экспертизы ATT&CK* в Knowledge Base. Разрешать всё и всем не рекомендуется, правильнее будет разобраться какое именно правило фолзит и донастроить его по subject.id и specific_value
А какая стоит задача?
Если нужно включить или отключить часть правил, то работать нужно с Rules_Operation_Mode.
А если Вы работаете с фолзами: то в первую очередь стоит ознакомиться с описанием пакетов экспертизы ATT&CK* в Knowledge Base. Разрешать всё и всем не рекомендуется, правильнее будет разобраться какое именно правило фолзит и донастроить его по subject.id и specific_value
Задача состоит в том, чтобы легализовать активность пользователя system и добавить его в исключения , ибо сыпется ложная сработка как инцидент. Якобы запуск svhost от имени этого пользователя нелегитимен
AS
Задача состоит в том, чтобы легализовать активность пользователя system и добавить его в исключения , ибо сыпется ложная сработка как инцидент. Якобы запуск svhost от имени этого пользователя нелегитимен
а как называется правило корреляции, которое срабатывает?
M
а как называется правило корреляции, которое срабатывает?
AS
Смотрю текст данного правила. Там есть запрос вайтлистинга CheckSpecificValueWhitelist.
И когда он вызывается, то в качестве аргументов ему передаётся из события три поля:
lower(event_src.host) → что и есть в вайтлисте host,
lower(subject.id) → что и есть в вайтлисте user_id ,
lower(object.name) → что и есть в вайтлисте specific_value
Далее можно изучить значение этих полей в нормализованном событии винвентлог и попробовать составить правильный запрос для исключений
И когда он вызывается, то в качестве аргументов ему передаётся из события три поля:
lower(event_src.host) → что и есть в вайтлисте host,
lower(subject.id) → что и есть в вайтлисте user_id ,
lower(object.name) → что и есть в вайтлисте specific_value
Далее можно изучить значение этих полей в нормализованном событии винвентлог и попробовать составить правильный запрос для исключений
M
Смотрю текст данного правила. Там есть запрос вайтлистинга CheckSpecificValueWhitelist.
И когда он вызывается, то в качестве аргументов ему передаётся из события три поля:
lower(event_src.host) → что и есть в вайтлисте host,
lower(subject.id) → что и есть в вайтлисте user_id ,
lower(object.name) → что и есть в вайтлисте specific_value
Далее можно изучить значение этих полей в нормализованном событии винвентлог и попробовать составить правильный запрос для исключений
И когда он вызывается, то в качестве аргументов ему передаётся из события три поля:
lower(event_src.host) → что и есть в вайтлисте host,
lower(subject.id) → что и есть в вайтлисте user_id ,
lower(object.name) → что и есть в вайтлисте specific_value
Далее можно изучить значение этих полей в нормализованном событии винвентлог и попробовать составить правильный запрос для исключений
спасибо за направление, буду разбирать по этим ключам
e
Добрый день!
Подскажите, пожалуйста, как PDQL-запросом (в событиях) можно отсечь значения ipv6 из полей типа IP-address?
PS
match не работает по полям типа IP-address
in_subnet(src.ip, "0.0.0.0/0") - возвращает ошибку "Ошибка валидации: Заданный аргумент находится вне диапазона допустимых значений. Имя параметра: maskPrefix"
Подскажите, пожалуйста, как PDQL-запросом (в событиях) можно отсечь значения ipv6 из полей типа IP-address?
PS
match не работает по полям типа IP-address
in_subnet(src.ip, "0.0.0.0/0") - возвращает ошибку "Ошибка валидации: Заданный аргумент находится вне диапазона допустимых значений. Имя параметра: maskPrefix"
e
Добрый день!
Подскажите, пожалуйста, как PDQL-запросом (в событиях) можно отсечь значения ipv6 из полей типа IP-address?
PS
match не работает по полям типа IP-address
in_subnet(src.ip, "0.0.0.0/0") - возвращает ошибку "Ошибка валидации: Заданный аргумент находится вне диапазона допустимых значений. Имя параметра: maskPrefix"
Подскажите, пожалуйста, как PDQL-запросом (в событиях) можно отсечь значения ipv6 из полей типа IP-address?
PS
match не работает по полям типа IP-address
in_subnet(src.ip, "0.0.0.0/0") - возвращает ошибку "Ошибка валидации: Заданный аргумент находится вне диапазона допустимых значений. Имя параметра: maskPrefix"
Похоже на фича реквест да? ;)