設定 OMS 警示來偵測可疑的可執行檔

概要： 學習如何跟著步驟設定警示來偵測可疑的可執行檔。

Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。

Note: FQBN 是 Fully Qualified Binary Name 的縮寫，它是一個字串包含了：publisher\product\file name\version。

一個簡單回報 Security Event 8002 的搜尋指令如下：

Type=SecurityEvent EventID=8002

接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的，因此在輸入指令時有兩點需要注意。首先，必須輸入正確的大小寫： Fqbn，若輸成 FQBN 將會跳出錯誤，如下圖：

再者，* 這個符號被視為是文字字符，而非通用的字符，因此若執行下圖的輸入，雖然不會造成錯誤產生，但也無法成功搜尋到資料：

正確的指令應為：

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT*

Note: MICROSOFT 也是一個敏感的字，若輸入 *Microsoft* 將不會回傳任何資料。

執行結果在左側詳細資料中並不會顯示 Fqbn。要顯示出 Fqbn，需先點擊左下角的 [+新增]，接著在列表中找到 Fqbn 並勾選：

完成後按下右上角的 x 即可在左方看到配對 *MICROSOFT* 的 Fqbn 總覽。如下圖：

現在要利用 Measure 指令來計算 ExecutionCountHash 並藉由執行檔的 file hashes 來組織，同時您也會得到各個的計數。指令和結果如下：

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* | Measure count() as ExecutionCountHash by FileHash

最後要做的一件事就是在指令中利用 Where 來過濾。以下指令過濾出 ExecutionCountHash 發生至少或超過 5 的情況：

Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5

我對於 Fqbn 為 MICROSOFT 的指令並不感興趣，現在我將其換成 Fqbn 等於 "-"，指令如下：

Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5

現在我有了我要的搜尋指令，便可以開始設定警示：

名稱：SuspiciousExecutableAlert
嚴重性：嚴重
搜尋指令：Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5
時間間隔：15分鐘
警示頻率：15分鐘
結果數目：大於 0
隱藏警示：20分鐘
主旨：Suspicious Executable detected

Additional resources