Azure
/
Azure-Sentinel
зеркало из
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Update NickelRegIOCPatterns.yaml 

Adding in extra backslash for string match, change from ObjectValue to ObjectValueName for match, removing extra paren at the end.
This commit is contained in:
Shain 2021-12-02 19:00:40 -08:00 коммит произвёл GitHub
Родитель d02a5492bc
Коммит 5c5a5abd5c
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 6 добавлений и 7 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

13
Hunting Queries/MultipleDataSources/NickelRegIOCPatterns.yaml
Просмотреть файл

@ -23,17 +23,17 @@ tags:
- Solorigate
- NOBELIUM
query: |
let reg_paths = dynamic(["HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main",
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Recovery",
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy",
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap"
let reg_paths = dynamic(["HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main",
"HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Recovery",
"HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Privacy",
"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap"
]);
let reg_keys = dynamic(["Start Page", "DisableFirstRunCustomize", "RunOnceComplete", "RunOnceHasShown", "Check_Associations", "AutoRecover", "ClearBrowsingHistoryOnExit", "Completed", "IEHarden"]);
(union isfuzzy=true
(
SecurityEvent
| where EventID == 4657
| where ObjectName has_any (reg_paths) and ObjectValue has_any (reg_keys)
| where ObjectName has_any (reg_paths) and ObjectValueName has_any (reg_keys)
| summarize Count=count() by Computer, Account, ObjectName
| extend AccountCustomEntity = Account, HostCustomEntity = Computer
),
@ -57,7 +57,6 @@ query: |
| extend AccountCustomEntity = Username, HostCustomEntity = Dvc
)
)
)
entityMappings:
- entityType: Account
fieldMappings:
@ -66,4 +65,4 @@ entityMappings:
- entityType: Host
fieldMappings:
- identifier: FullName
columnName: HostCustomEntity
columnName: HostCustomEntity