阈值规则示例
阈值规则定义
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <threshold count="3" interval="900s">
<detection> <definition>
<process> <operator type="or"> <condition component="FileItem" property="FileName" condition="is" value="notepad.exe"/> <condition component="FileItem" property="FileName" condition="is" value="cmd.exe"/> </operator> </process>
<operations> <operation type="Detection"> <operator type="or"> <condition component="InspectDetection" property="RuleName" condition="contains" value="PB000"/> <condition component="InspectDetection" property="RuleName" condition="contains" value="PB001"/> </operator> </operation> </operations>
</definition> </detection>
<aggregateOn> <property name="ParentProcess"/> </aggregateOn>
<cardinality> <property name="ruleName" value="2" /> </cardinality>
</threshold> </definition>
<actions> <action name="ReportIncident" /> </actions>
<description> <name>test threshold rule</name> <category>default</category> </description> </rule> |
支持规则
1.规则 PB000(记事本)
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="notepad"/> </process> </definition> <description> <name>notepad [PB000]</name> <category> Default </category> </description> </rule> |
2.规则 PB001(命令)
<?xml version="1.0" encoding="utf-8"?> <rule> <definition> <process> <condition component="FileItem" property="FileNameWithoutExtension" condition="is" value="cmd"/> </process> </definition> <description> <name>cmd [PB001]</name> <category> Default </category> </description> </rule> |
上面的规则示例中需要注意的事项:
此阈值规则在给定间隔内满足特定条件时触发事件。
触发说明:
1.阈值计数和间隔:
o如果在 900 秒内发生 3 次检测,则会触发阈值规则(创建事件)。
2.检测
o进程部分指定受监视的进程:notepad.exe 和 cmd.exe。
o在此示例中,进程部分是可选的,因为特定规则(PB000 和 PB001)已经定义了被监视的进程。
o操作部分根据规则名称(PB000 和 PB001)指定条件。
3.AggregateOn(可选):
o在此示例中,aggregateOn设置为 ParentProcess。由于所有类型的聚合都意味着计算机聚合,因此检测必须在同一台具有相同 ParentProcess 的计算机上进行。
4.Cardinality(可选):
oCardinality 指定检测必须至少来自两条不同的规则(ruleName 的值为 2)。
5.操作:
o唯一支持的操作是 ReportIncident。所有其他参数(aggregateOn 和 aggregationParameter)都将被忽略,不应在阈值规则中使用。
o如果不执行此操作,阈值规则将不会创建事件。
示例方案:
•1 次 PB000 检测和 2 次 PB001 检测。
•2 次 PB000 检测和 1 次 PB001 检测。
•3 次 PB000 检测和 10 次 PB001 检测。
•满足条件的其他组合:
o总检测计数必须为 3 次或更多次。
o必须至少触发 2 条不同的规则。