MaxPatrol SIEM filters: Cheat Sheet
Первоисточником данной статьи является компания solar
[https://t.me/c/2419698279/110]
(event_src.hostname contains '<имя хоста>' or event_src.ip = '<адрес хоста>') and correlation_type = null
Поиск исходящих сетевых соединений с хоста по определенным портам
src.ip = '<адрес хоста>' and dst.port in [<порт 1>, <порт 2>, <порт 3>] and correlation_type = null
Поиск имени хоста по его ІР-адресу для Windows NT
src.ip = '<адрес хоста>' and (subject.name endswith '#39; or subject.account.name endswith '#39;) and correlation_type = null
Поиск действий пользователя и над пользователем
(subject.name contains '<имя пользователя>' or object.name contains '<имя пользователя>' or object.value contains '<имя пользователя>') and correlation_type = null
Поиск запущенных процессов на хосте
(event_src.hostname contains '<имя хоста>' or event_src.ip = '<адрес хоста>') and object.name in ['<процесс 1>', '<процесс 2>', '<процесс 3>'] and correlation_type = null
Определить IP-адрес по имени хоста
(((src.ip != null) and (src.host contains '<адрес хоста>' or src.hostname contains '<адрес хоста>')) or ((dst.ip != null) and (dst.host contains '<адрес хоста>' or dst.hostname contains '<адрес хоста>')) or ((event_src.ip != null) and (event_src.host contains '<адрес хоста>' or event_src.hostname contains '<адрес хоста>'))) and correlation_type = null
Поиск событий сетевого взаимодействия двух хостов
((src.ip = '<адрес хоста 1>' and dst.ip = '<адрес хоста 2>') or (src.ip = '<адрес хоста 2>' and dst.ip = '<адрес хоста 1>')) and correlation_type = null
Поиск активной учётной записи на хосте
(src.hostname contains '<имя хоста >' and subject.name contains '<имя пользователя>') and correlation_type = null
Поиск аномальных действий на хосте
event_src.hostname contains '<имя хоста>' and (event_type in ['<тип события 1>', '<тип события 2>'] or object.name in ['<объект 1>', '<объект 2>']) and correlation_type = null
Поиск изменений в системных файлах
event_src.hostname contains '<имя хоста>' and object.name in ['<файл 1>', '<файл 2>', '<файл 3>'] and correlation_type = null
Поиск несанкционированного доступа к ресурсам
(subject.name contains '<имя пользователя>' and object.name contains '<ресурс>') and correlation_type = null
event_type = 'login' and (subject.name contains '<имя пользователя>' or src.ip = '<адрес хоста>') and correlation_type = null
Поиск событий сетевого взаимодействия двух хостов
((src.ip = '<адрес хоста 1>' and dst.ip = '<адрес хоста 2>') or (src.ip = '<адрес хоста 2>' and dst.ip = '<адрес хоста 1>')) and correlation_type = null
Поиск по ненормализованным событиям
Если необходимо искать по ненормализованным событиям, можно использовать следующий запрос:
VerifyOpen In EditorEditCopy code1(src.hostname contains '<имя хоста-источника>' or src.ip = '<адрес хоста-источника>') and 2(action = 'login' or action = 'access') and 3NOT(subject.name endswith '#39;) and correlation_type = null
Этот запрос может помочь в анализе событий сетевой аутентификации, чтобы найти активную учетную запись на хосте-источнике, исключая компьютерные учетные записи.
Запрос для анализа исходных событий
Если у вас есть подозрения, что нужные нормализованные события отсутствуют, но информация доступна в исходных событиях, можно использовать следующий запрос:
VerifyOpen In EditorEditCopy code1body contains '<строка для поиска>' and correlation_type = null
Этот запрос рекомендуется использовать в крайних случаях, так как он может значительно нагрузить систему SIEM.
Поиск имени хоста по его IP-адресу
Для поиска имени хоста по его IP-адресу можно использовать следующий запрос:
VerifyOpen In EditorEditCopy code1((src.ip = '<адрес хоста>' and src.host != '<адрес хоста>' and src.host != null) or 2(dst.ip = '<адрес хоста>' and dst.host != '<адрес хоста>' and dst.host != null) or 3(event_src.ip = '<адрес хоста>' and event_src.host != '<адрес хоста>' and event_src.host != null)) and correlation_type = null
Все сетевые взаимодействия, инициированные из подсети 192.168.0.0/24
Для поиска всех сетевых взаимодействий из подсети 192.168.0.0/24 используйте следующий запрос:
VerifyOpen In EditorEditCopy code1in_subnet(src.ip, 192.168.0.0/24) and correlation_type = null
Этот запрос может помочь при расследовании подтвержденного сетевого сканирования, позволяя сузить поиск и собрать фактуру по сканированию. src.ip можно заменить на dst.ip для анализа обратных