在之前的这个系列文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)”,我们讲到了SIEM的detections。在今天的这篇文章中,我们来讲述一下如何来创建一个rule。简单地说rule定期运行,并在指定的索引中搜索符合其条件的文档。
我们在Kibana中的SIEM里打开我们的Detection tab,我们可以看到:
我们可以点击Load prebuilt detection rules来装载在Elastic预先设置好的检测规则。如果你已经加载这些规则,那么你会看到如下的画面:
在它的旁边,我们可以看到一个叫做Create your own rules的按钮。这个按钮是用来创建我们自己的规则的。那么我们该如何创建一个规则呢?这些规则到底长的是啥个样子呢?
在今天的教程中,我们将以winlogbeat所生产的索引来生产一个可以检测当执行Windows命令“vssadmin delete shadows”而生产的信号。
我们点击Create your own rules按钮:
如上图所示,它首先让我们选择我们所需要的index pattern。针对我们的情况,我们选择winlogbeat-*。同时,它需要让我们输入一个custom query。针对我们的需求,我们需要输入:
event.action:"Process Create (rule: ProcessCreate)" and process.name:"vssadmin.exe" and process.args:("delete" and "shadows")
填完后的情况是:
event.action:"Process Create (rule: ProcessCreate)" and process.name:"vssadmin.exe" and process.args:("delete" and "shadows")
我们点击Contiue按钮:
按照上面的要求我们填入我们需要的信息,同时我们也设置这个事件的严重程度及Risk score。等我们配置完后,我们点击Continue按钮:
在上面我们可以看出来这个rule的总体情况。在这里我们可以配置这个rule的运行间隔。等我们配置完后,我们点击Create & activate rule按钮:
等过一段时间过后,我们可以看到我们的状态显示succeeded,表明我们的创建是已经成功的。
在我们Windows中,我们可以通过vssadmin命令来创建一个shadow,并删除它。那么在Elastic SIEM应用中将会看到一个这个事件的signal来供我们分析。
参考:
【1】https://www.elastic.co/guide/en/siem/guide/current/rules-ui-create.html