Comment le résumé complet dans Uncoder AI booste l’analyse des requêtes Kusto pour les chasseurs de menaces

La requête Microsoft Sentinel proposée est conçue pour détecter des activités système spécifiques capturées par les journaux d’événements de System Monitor (Sysmon). Voici une répartition de ce que cette requête vise à accomplir :

1. Filtrage pour Event ID 7: La requête commence par filtrer les événements Sysmon où EventID == 7. Dans Sysmon, Event ID 7 correspond à un événement Image Loaded , ce qui signifie que le système a chargé un nouveau module (comme une DLL) en mémoire. C’est un événement courant mais qui peut être significatif pour identifier une activité malveillante si des modules inhabituels ou inattendus sont chargés.
2. Filtrage pour clfs.sys : La requête restreint davantage ces Image Loaded événements en recherchant les cas où l’image chargée (ImageLoaded) se termine par \clfs.sys. Ce fichier, clfs.sys, est un pilote système Windows lié au Common Log File System (CLFS). Il est essentiel pour certaines opérations de journalisation et de base de données au sein de Windows. L’intérêt pour ce pilote spécifique pourrait provenir de son utilisation potentielle incorrecte par des logiciels malveillants ou d’autres processus non autorisés.
3. Filtres de répertoire spécifiques : La requête applique ensuite plusieurs filtres basés sur le chemin de l’image chargée (Image). Ces filtres recherchent des images qui se trouvent dans, ou qui ont des chemins contenant, certains répertoires. Plus précisément, elle recherche :

• Des chemins qui incluent \Perflogs\, ce qui pourrait indiquer une activité liée à la journalisation des performances.
• Des chemins qui incluent \Users\Public\, suggérant l’implication du répertoire utilisateur public.
• Des chemins contenant \Temporary Internet, indiquant des fichiers internet temporaires.
• Des chemins qui se terminent par \Windows\Temp\, pointant vers le dossier temporaire de Windows, un lieu commun pour les activités malveillantes ou non autorisées.
• Des filtres plus spécifiques sont appliqués dans les répertoires utilisateur (:\Users\), se concentrant sur les sous-répertoires tels que :\Favourites\ (prenant en compte différentes orthographes régionales)\Contacts\
\Pictures\

Ces filtres de répertoire spécifiques suggèrent que la requête cherche à identifier si clfs.sys ou des modules système similaires sont chargés depuis des emplacements inhabituels ou potentiellement compromis au sein de l’espace utilisateur, ce qui pourrait indiquer une activité malveillante. L’accent mis sur ces répertoires et sous-répertoires particuliers implique une préoccupation pour l’intégrité des données, la vie privée ou un potentiel mouvement latéral au sein d’un réseau.

En essence, cette requête Microsoft Sentinel est conçue pour découvrir le chargement suspect des pilotes système Windows depuis des chemins non standards, en particulier ceux associés aux données utilisateur, au stockage temporaire ou à d’autres zones qui ne sont généralement pas impliquées dans les opérations au niveau du système. Cela pourrait aider les équipes de sécurité à identifier et répondre aux menaces potentielles, telles que l’accès non autorisé à des données sensibles ou les logiciels malveillants tentant de se fondre dans les activités système légitimes.