Giter Club home page Giter Club logo

ksc_decoders_and_rules_for_wazuh_ru_ru's Introduction

KSC decoders and rules for Wazuh (ru_RU)

Проверно с актуальными версиями Kaspersky Security Center, Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Security для Linux (язык локализации RU)

В случае, если поддерживаемых событий недостаточно, достаточно продублировать правила, заменив ID событий на нужные из https://support.kaspersky.ru/kes12/246282

Поддерживаемые события

1. Критические:

  • GNRL_EV_VIRUS_FOUND // Обнаружен вредоносный объект (локальные базы)
  • 0000003c // Возникла ошибка проверки зашифрованного соединения. Домен добавлен в список исключений
  • GNRL_EV_WEB_URL_BLOCKED // Доступ запрещен (локальные базы)
  • GNRL_EV_WEB_URL_BLOCKED_BY_KSN // Доступ запрещен (KSN)
  • 00000039 // Приложение установило соединение с сайтом с недоверенным сертификатом
  • GNRL_EV_OBJECT_NOTCURED // Лечение невозможно
  • GNRL_EV_ATTACK_DETECTED // Обнаружена сетевая атака
  • GNRL_EV_APPLICATION_LAUNCH_DENIED // Запуск приложения запрещен
  • GNRL_EV_DEVCTRL_DEV_PLUG_DENIED // Операция с устройством запрещена
  • 000000d1 // Автозапуск приложения выключен
  • 000000e7 // Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения
  • 00000139 // Невозможно удалить
  • GNRL_EV_VIRUS_FOUND_AND_REPORTED // Открыта опасная ссылка
  • GNRL_EV_VIRUS_FOUND_AND_PASSED // Обнаружена ранее открытая опасная ссылка
  • 00000803 // Клавиатура не авторизована
  • 00000898 // AMSI-запрос заблокирован
  • 00000329 // Сетевая активность запрещена | Сетевое соединение заблокировано
  • 000002c6 // Запрещенный процесс был запущен до старта Kaspersky Endpoint Security для Windows

2. Отказы функционирования:

3. Предупреждения:

  • GNRL_EV_OBJECT_BLOCKED // Загрузка объекта запрещена | Запрещено
  • GNRL_EV_SUSPICIOUS_OBJECT_FOUND // Обнаружено легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя (локальные базы | KSN)
  • GNRL_EV_OBJECT_CURED // Объект вылечен
  • GNRL_EV_OBJECT_DELETED // Объект удален
  • GNRL_EV_WEB_URL_WARNING // Предупреждение о нежелательном содержимом (локальные базы | KSN)
  • GNRL_EV_DEVCTRL_DEV_PLUG_DENIED // Подключение устройства заблокировано
  • 000000d3 // Самозащита приложения выключена
  • 000000d2 // Автоматическое обновление выключено
  • 000000d7 // Компьютер работает в безопасном режиме
  • 000000e8 // Запущена процедура лечения активного заражения
  • 000000e9 // Процедура лечения активного заражения завершена
  • 000007d1 // Обнаружена подозрительная сетевая активность
  • 00000abe // Сетевое соединение заблокировано
  • 00000140 // Объект зашифрован
  • 00000804 // Ошибка авторизации клавиатуры
  • 000002f2 // Осуществлен доступ к нежелательному содержимому после предупреждения | Активирован временный доступ к устройству
  • 000003f8 // Операция отменена пользователем
  • 000000d6 // Компоненты защиты выключены

4. Информационные сообщения:

  • GNRL_EV_PASSWD_ARCHIVE_FOUND // Обнаружен защищенный паролем архив
  • GNRL_EV_DEVCTRL_DEV_PLUGGED // Устройство подключено
  • GNRL_EV_DEVCTRL_DEV_UNPLUGGED // Устройство отключено
  • KLAUD_EV_SERVERCONNECT // Аудит (подключение к Серверу администрирования)

Интеграция с MITRE ATT&CK

123

Пример функционирования

Для корректной обработки dstuser в соответствующий декодер нужно добавить имя домена:

<regex>DOMAIN\\\\(\.*)"</regex>

Исходный лог:

1 2024-02-19T13:18:51.000Z EXAMPLE-PC KES|11.0.0.0 - GNRL_EV_OBJECT_BLOCKED [event@11111 p1="1111111111111111111111111111111111111111111111111111111111111111" p2="https://BAD.SITE" p5="not-a-virus:HEUR:AdWare.Script.Pusher.gen" p7="DOMAIN\\USER" p8="65" p9="{\"engine\":3,\"method\":0,\"blacklist\":false,\"cloud_sb\":false,\"md5\":\"11111111111111111111111111111111\"}" et="GNRL_EV_OBJECT_BLOCKED" tdn="Защита от веб-угроз" etdn="Загрузка объекта запрещена" hdn="EXAMPLE-PC" hip="10.10.10.10" gn="Управляемые устройства" kscfqdn="KES.EXAMPLE"] Описание результата: Запрещено\r\nТип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя\r\nНазвание: not-a-virus:HEUR:AdWare.Script.Pusher.gen\r\nПользователь: DOMAIN\USER (Инициатор)\r\nОбъект: https://BAD.SITE\r\nДата выпуска баз: 19.02.2024 13:31:00\r\nSHA256: 1111111111111111111111111111111111111111111111111111111111111111\r\nMD5: 11111111111111111111111111111111

Результат обработки:

a

telegram:

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.