Skip to main content

Настройка обнаружения DLL hijacking

Для работы этой функции KUMA требуется:

  • Развернута лицензия на искусственный интеллект
  • Доступ по KSN

Перехват библиотеки DLL работает во время обогащения событий, поэтому его можно настроить либо на стороне сборщика (базовые события), либо на стороне коррелятора (коррелированные события). Рекомендуется использовать последний метод, поскольку потому что это позволяет эффективно управлять производительностью и нагрузкой на стороны KUMA и KSN

Как это работает с коррелятором:

1. На конечной точке настроен Sysmon + KUMA Agent или EDR Expert Agent , который отправляет телеметрию сборщику KUMA
2. Сборщик успешно нормализует данные (включая хэши, пути к файлам, имена процессов) и пересылает их дальше для хранения и коррелятора
3. Коррелятор запускает правило корреляции, которое запускает событие корреляции с соответствующими данными, которые могут быть дополнительно обогащены с помощью KSN
4. KSC проверяет показатели и отправляет обратно вердикт, который хранится в
поле KL_AI_DLLHijackingCheckResult:
0 - Не классифицирован. Чтобы получить статус, вам необходимо повторно отправить запрос.
1 - Неизвестно. На момент получения статуса библиотека не считается вредоносной
2 - Подозрительно. При получении такого результата выдается предупреждение, если у вас
настроено соответствующее правило корреляции.
3 - Ошибка. Статус "Неисправен" указывает на более высокую вероятность обнаружения
перехвата библиотеки DLL, чем статус "Подозрительно"

Настройка с помощью Agent EDR

  1. Убедитесь, что в  SIEM поступает телеметрия KEDR

2. Лицензия KUMA поддерживвет модуль AI

image.pngimage.png

3. Перейдите в Ресурсы -> Правила Обогащения -> Создать

Заполните поля:

  • Название - DLL Hijacking 
  • Тенант 
  • Тип источника данных - проверка DLL Hijacking

4. В разделе Сопоставление в редактировании правила обогащения  установите поля событий 

image.png

5. В разделе Параметры фильтра в редактировании правила обогащения выберите коробочный фильтр - [OOTB] Events for DLLHijacking enrichment. Filter for correlator

image.png