設定 OMS 警示來偵測可疑的可執行檔


概要:學習如何跟著步驟設定警示來偵測可疑的可執行檔。

可疑的可執行檔警示

Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。

Note: FQBN 是 Fully Qualified Binary Name 的縮寫,它是一個字串包含了:publisher\product\file name\version。

一個簡單回報 Security Event 8002 的搜尋指令如下:

Type=SecurityEvent EventID=8002

 

接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的,因此在輸入指令時有兩點需要注意。首先,必須輸入正確的大小寫: Fqbn,若輸成 FQBN 將會跳出錯誤,如下圖:

 

再者,* 這個符號被視為是文字字符,而非通用的字符,因此若執行下圖的輸入,雖然不會造成錯誤產生,但也無法成功搜尋到資料:

 

正確的指令應為:

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT*

Note: MICROSOFT 也是一個敏感的字,若輸入 *Microsoft* 將不會回傳任何資料。

執行結果在左側詳細資料中並不會顯示 Fqbn。要顯示出 Fqbn,需先點擊左下角的 [+新增],接著在列表中找到 Fqbn 並勾選:

完成後按下右上角的 x 即可在左方看到配對 *MICROSOFT* 的 Fqbn 總覽。如下圖:

Measure count

現在要利用 Measure 指令來計算 ExecutionCountHash 並藉由執行檔的 file hashes 來組織,同時您也會得到各個的計數。指令和結果如下:

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* | Measure count() as ExecutionCountHash by FileHash


最後要做的一件事就是在指令中利用 Where 來過濾。以下指令過濾出  ExecutionCountHash 發生至少或超過 5 的情況:

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5

將指令轉為警示

我對於 Fqbn 為 MICROSOFT 的指令並不感興趣,現在我將其換成 Fqbn 等於 "-",指令如下:

Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5

現在我有了我要的搜尋指令,便可以開始設定警示:

  • 名稱:SuspiciousExecutableAlert
  • 嚴重性:嚴重
  • 搜尋指令:Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5
  • 時間間隔:15分鐘
  • 警示頻率:15分鐘
  • 結果數目:大於 0
  • 隱藏警示:20分鐘
  • 主旨:Suspicious Executable detected

Comments (0)

Skip to main content