Синтаксис правил
Правило — це набір виразів, визначених за допомогою мови на основі XML.
Вебконсоль ESET Inspect містить попередньо визначений набір правил, проте в нього можна додавати власні правила й вносити в них зміни.
Загальна структура тексту правила:
<rule> <definition> <ancestor></ancestor> <parentprocess></parentprocess> <process></process> <operations> <operation></operation> </operations> </definition> <description> <name></name> <category></category> <explanation></explanation> <os></os> <mitreattackid></mitreattackid> <maliciousCauses></maliciousCauses> <benignCauses></benignCauses> <recommendedActions></recommendedActions> </description> <maliciousTarget name=""/> <actions> <action name="action" /> </actions> </rule> |
Тег Definition
ancestor може приймати додатковий атрибут:
•distance: визначає фактичну відстань від поточного процесу предка, тобто 1 — батьківський процес, 2 — батьківський процес попереднього процесу, ... . Якщо значення не вказано, властивість зіставляється з усіма предками процесу
•unique: вмикає тег ancestor для видалення дубльованих процесів у дереві предків. Наприклад, шкідливе програмне забезпечення створює кілька екземплярів одного процесу, щоб уникнути виявлення (explorer -> cmd -> cmd -> cmd -> шкідливе програмне забезпечення). Цей атрибут дає змогу позбутися цих дублікатів (explorer -> cmd -> шкідливе програмне забезпечення)
Process і parentprocess
process дає змогу інженерам з безпеки обмежувати події певним процесом, наприклад, створити правило "Outlook створює файл EXE". Якщо елемент process порожній, для всіх процесів оцінюються властивості parentprocess і operations.
Частина parentprocess аналогічна елементу process, але дає змогу інженерам з безпеки тестувати атрибути батьківського процесу. Таким чином можна активувати, наприклад, таке правило: "PowerShell, запущений Word, підключається до Інтернету".
process, parentprocess, ancestor і operation використовують елемент expression для опису логічного виразу, який оцінюється щодо того, чи слід ініціювати виявлення. Вираз складається з умов і логічних операторів. Умова перевіряє значення певної властивості, а логічні оператори групують ці умови в логічні вирази.
Приклад виразу:
<operator type="and"> <condition component="FileItem" property="Path" condition="notstarts" value="%SYSTEM%" /> <operator type="or"> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="svchost" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="smss" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="lsass" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="csrss" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="wininit" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="services" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="winlogon" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="system" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="userinit" /> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="conhost" /> </operator> </operator> |
Operations
Частина operations визначає виконувані процесом операції, які ініціюють виявлення. Якщо значення порожнє, виявлення ініціюється, коли процес генерує подію.
Операції визначаються за допомогою елемента операції з атрибутом type і елементом виразу.
<operation type="WriteFile">Expression</operation>
Повний список підтримуваних операцій див. в розділі Операції.
Operator
Підтримувані логічні оператори: AND, OR і NOT. Логічні оператори можуть бути вкладеними. Отже, логічний оператор може бути аргументом іншого логічного оператора. Окрім логічних операторів, елемент умови можна використати як аргумент для логічних операторів. Ви можете використовувати тег оператора, як показано в цьому прикладі:
<process> <operator type ="AND"> <condition component ="FileItem" property ="Path" condition ="starts" value ="% TEMP %"/> <condition component ="FileItem" property ="FileName" condition ="is" value ="svchost"/> </operator> </process> |
Елементи умови складаються з трьох частин:
•Властивість аргументу операції або процесу
•Значення, указане автором правила
•Зв’язок між значенням і властивістю
Властивості ієрархічно згруповані в компоненти.
Виявлені об’єкти Розрізняють три рівні критичності: 1–39 > Info, 40–69 > Warning і 70–100 > Threat.
Типи властивостей та їхні зв’язки (атрибути умови):
|
is(not)set |
is(not) |
is(not)empty |
(not)starts |
(not)contains |
(not)ends |
less, lessOrEqual, greater, greaterOrEqual |
|---|---|---|---|---|---|---|---|
Рядок |
✔ |
✔ |
✔ |
✔ |
✔ |
✔ |
|
Int |
✔ |
✔ |
|
|
✔ |
|
✔ |
Значення |
✔ |
✔ |
✔ |
|
|
|
|
Логічне значення |
✔ |
✔ |
|
|
|
|
|
Дата |
✔ |
✔ |
|
|
|
|
✔ |
Набір рядків |
✔ |
|
✔ |
|
✔ |
|
|
Адреса IPv4 |
✔ |
✔ |
✔ |
|
|
|
|
Адреса IPv6 |
✔ |
✔ |
✔ |
|
|
|
|
Набір адрес IPv4 |
✔ |
|
✔ |
|
✔ |
|
|
Набір адрес IPv6 |
✔ |
|
✔ |
|
✔ |
|
|
Тег Description
Опис є обов’язковим і має містити назву й категорію, проте решта опису є необов’язковою. Рекомендується визначити поля, перелічені нижче, оскільки вони з’являються у відомостях про виявлені об’єкти ESET Inspect
name: унікальна назва правила. Її вказано в списку правил.
category: дає змогу категоризувати правила. Можна вказати власні категорії.
explanation: пояснює причину, через яку активовано правило
os: цей тег містить операційну систему, до якої застосовується правило. Можливі значення: Windows, Linux, OSX, ANY
mitreattackid: містить ідентифікатор MITRE ATT&CK®
maliciousCauses: описує зловмисні причини події або зміни, через які було активовано правило
benignCauses: описує доброякісні причини події або зміни, які спричинили появу правила
recommendedActions: описує рекомендовані дії, які мають виконати інженери з безпеки. Користувач може використовувати таку розмітку:
•[navigation:computer_details]: ім’я за замовчуванням, яке відображатиметься для користувача — Computer Details
•[navigation:executable_details]: ім’я за замовчуванням, яке відображатиметься для користувача — Executable Details
•[navigation:process_details]: ім’я за замовчуванням, яке відображатиметься для користувача — Process Details
•[remediation:shutdown]: ім’я за замовчуванням, яке відображатиметься для користувача — Shutdown Computer
•[remediation:reboot]: ім’я за замовчуванням, яке відображатиметься для користувача — Reboot Computer
•[remediation:kill]: ім’я за замовчуванням, яке відображатиметься для користувача — Kill Process
•[remediation:block]: ім’я за замовчуванням, яке відображатиметься для користувача — Block Hash
•[misc:download]: ім’я за замовчуванням, яке відображатиметься для користувача — Download file
Окрім того, кожна команда може відображати альтернативний текст замість стандартного. Щоб указати альтернативний текст для відображення, після команди вкажіть знак вертикальної риски й введіть потрібний текст. Наприклад, [navigation:computer_details|GoToComDet] покаже GoToComDet замість стандартних відомостей про комп’ютер. Щоб знайти інші приклади використання, відкрийте головне вікно Аудит, перейдіть на вкладку Правила виявлення й виконайте пошук правила c0601.
guid: використовується для внутрішніх правил. Для зовнішніх правил GUID генерується автоматично. Він використовується для унікальної ідентифікації правил під час експорту/імпорту.
Тег maliciousTarget
За допомогою тега maliciousTarget можна вказати цільовий об’єкт, на який впливатимуть дії користувача. Наприклад, якщо вибрати блокування виконуваного файлу, застосовувані зміни залежатимуть від тегу maliciousTarget. Якщо для maliciousTarget указати current або parent, блокування виконуваного файлу користувачем зміниться на blockProcessExecutable або blockParentProcessExecutable відповідно. Це не впливає на поведінку тегу actions. Можливі значення: current, module, none і parent.
Замість тегу maliciousProcess використовується тег maliciousTarget. Перший тег ще підтримується як застарілий, проте ми все одно рекомендуємо використовувати тег maliciousTarget.
Тег Actions
Тег actions дає змогу вказати набір дій, які виконуватимуться під час активації правила. Повний список підтримуваних дій можна див. в розділі Дії.
Ви можете об’єднати дії в один елемент:
<action name="BlockProcessExecutable"/>
Або об’єднайте кілька елементів в один елемент actions (як показано в наступному прикладі):
<actions> <action name="BlockProcessExecutable"/> … </actions> |
З одного правила можна ініціювати кілька дій.