karthika149/SOAR---EDR-Playbook

# SOAR-EDR-Playbook 一个集成 SOAR (Tines) 和 EDR (LimaCharlie) 用于自动化事件响应的网络安全项目。 # Lazagne 检测规则 **文件名：** `lazagne_detection_rule.yaml` **目的：** 检测 Windows 端点上 Lazagne 密码恢复工具的执行或存在。 ## 描述 此规则通过检查文件路径、命令行指示符和已知文件哈希来检测 Lazagne 执行的常见迹象。Lazagne 通常被红队和恶意行为者用于从 Windows 机器中提取存储的凭据。此规则旨在用于 SOAR/EDR 规则集中，以对潜在的凭据访问活动发出警报。 ## 检测逻辑 - 在新的或现有的进程事件上触发。 - 针对 Windows 平台进程。 - 如果满足以下条件则匹配： - `FILE_PATH` 以 `lazagne.exe` 结尾，或者 - `COMMAND_LINE` 以或包含 `lazagne`，或者 - `event/HASH` 等于规则中包含的已知哈希值。 ## 建议的响应 - 默认动作：`report`（生成警报）。 - 建议警报级别：`medium`。 - 建议标签：`attack.credential_access`。 ## 误报 - 在大多数环境中**不太可能**发生，但如果合法工具或开发者二进制文件命名为 `lazagne` 则有可能（罕见）。 - 如果您拥有此名称的良性工具，请将其已知路径/哈希列入白名单。 ## 测试 1. 将 `lazagne_detection_rule.yaml` 放置在您的规则目录中（例如，`rules/credential_access/`）。 2. 重新加载或部署检测规则到您的 EDR/SOAR 平台。 3. 使用良性样本进行测试： - 在模拟生产环境的受控实验室虚拟机中运行 `lazagne.exe`。 - 在命令行中执行包含字符串 `lazagne` 的命令。 - 验证是否生成了警报并包含预期的元数据。 4. 测试哈希匹配： - 创建一个具有检测哈希的文件（仅用于实验室/测试）并运行它，以确保哈希检测被触发。 5. 通过运行常见管理工具并确认规则保持静默，验证未受到无关工具的警报。 ## 缓解 / 分析师 Playbook 1. 对警报进行分类：确认主机和用户上下文、开始/停止时间以及父进程。 2. 如果怀疑有恶意活动，请隔离主机。 3. 收集取证工件： - 进程列表、命令行和父进程。 - `lazagne.exe` 的内存转储 / 进程转储。 - 事件发生期间来自主机的网络连接。 4. 轮换/验证受影响用户的凭据。 5. 在整个环境中针对类似指标执行范围搜索。 ## 映射 - **MITRE ATT&CK：** `Credential Access`（例如，凭据转储 / 密码提取） ## 注意事项与自定义 - 替换或添加特定于您的威胁情报源的哈希值。 - 如果您有类似名称的合法工具，请通过文件路径、签名者或哈希添加允许列表条目。 - 如果运行手册要求对与凭据相关的检测采取积极响应，请将警报级别调整为 `high`。 ## YAML 代码 events: - NEW PROCESS - EXISTING PROCESS op: and rules: - op: is platform: windows - op: or rules: - case sensitive: false op: ends with path: event/FILE_PATH value: lazagne.exe - case sensitive: false op: ends with path: event/COMMAND_LINE value: .\lazagne - case sensitive: false op: contains path: event/COMMAND_LINE value: lazagne - case sensitive: false op: is path: event/HASH value: '467e4f9f1795c1b08245ae621c59cdf6df630ef1631dc0859da9a82285a846' respond: - action: report metadata:author: my edr description: Detects Lazagne (SOAR EDR Tool) from_view: false falsepositives:- Unlikely level: medium tags:-attack.credential_access name: myydfir-hacktool-lazagne (kiko) [SOAR EDR PROJECT1.docx](https://github.com/user-attachments/files/27585920/SOAR.EDR.PROJECT1.docx)

标签：Cloudflare, Conpot, LaZagne检测, LimaCharlie, MITRE ATT&CK, PB级数据处理, SecOps, Tines, Windows安全, YAML规则, 云安全架构, 凭据窃取检测, 命令行监控, 哈希检测, 安全编排自动化与响应 (SOAR), 安全运维, 模拟器, 红队工具检测, 终端检测与响应 (EDR), 网络安全, 自动化应急响应, 隐私保护