シーケンスルール
シーケンスルール
シーケンスルールを使用すると、検出が特定の順序で発生したときにインシデントを作成できます。
例:
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <sequence count="2" maxSpan="1m"> <detection> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="notepad" /> </process> <operations> <operation type="Detection"> <condition component="InspectDetection" property="RuleName" condition="contains" value="Rule 01"/> </operation> </operations> </definition> </detection> <detection> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="notepad" /> </process> <operations> <operation type="Detection"> <operator type="and"> <condition component="InspectDetection" property="RuleName" condition="contains" value="Rule 02"/> <condition component="InspectDetection" property="RuleCategory" condition="is" value="Custom category"/> <condition component="InspectDetection" property="RuleSeverity" condition="is" value="Threat"/> </operator> </operation> </operations> </definition> </detection> <aggregateOn> <property name="Computer"/> <property name="Process"/> <property name="ParentProcess"/> </aggregateOn> </sequence> </definition> <description> <name>Notepad triggered sequence of detections</name> <category> Default </category> </description> <actions> <action name="ReportIncident"/> </actions> </rule> |
上記のルールの例で注意すべき点:
1.sequenceタグは、インシデントを作成するためにシーケンス全体が一致する必要がある回数と、シーケンスの最初の検出から最後の検出までの最大時間を指定します。
2.上記の例では、シーケンスルールをトリガーするには、Rule 01とRule 02が1分間に2回、この順序で検出をトリガーする必要があります。
3.aggregateOnタグは、ルールのトリガーをグループ化する条件を指定します。
可能な値は、以下のとおりです。
oコンピュータ
oプロセス
oParentProcess
4.使用可能なアクションはReportIncidentのみです。