Come il Riassunto Completo in Uncoder AI Potenzia l’Analisi delle Query Kusto per i Cacciatori di Minacce

La query fornita di Microsoft Sentinel è progettata per rilevare attività di sistema specifiche raccolte dai log di eventi di System Monitor (Sysmon). Ecco un’analisi di ciò che questa query mira a ottenere:

1. Filtraggio per Event ID 7: La query inizia filtrando gli eventi Sysmon in cui EventID == 7. In Sysmon, Event ID 7 corrisponde a un Image Loaded , il che significa che il sistema ha caricato un nuovo modulo (come una DLL) in memoria. Questo è un evento comune ma può essere significativo per identificare attività dannose se moduli insoliti o inaspettati vengono caricati.
2. Filtraggio per clfs.sys: La query restringe ulteriormente questi Image Loaded eventi cercando istanze in cui l’immagine caricata (ImageLoaded) termina con clfs.sys. Questo file, clfs.sys, è un driver di sistema Windows relativo al Common Log File System (CLFS). È essenziale per alcune operazioni di logging e database all’interno di Windows. L’interesse in questo driver specifico potrebbe derivare dal suo potenziale uso improprio da parte di malware o altri processi non autorizzati.
3. Filtri Specifici di Directory: La query applica quindi diversi filtri basati sul percorso dell’immagine caricata (Image). Questi filtri cercano immagini che si trovano in, o hanno percorsi contenenti, determinate directory. In particolare, cerca:

• Percorsi che includono \Perflogs\, che potrebbero indicare attività relative al logging delle prestazioni.
• Percorsi che includono \Users\Public\, suggerendo il coinvolgimento della directory utente pubblica.
• Percorsi che contengono \Temporary Internet, indicando file internet temporanei.
• Percorsi che terminano con \Windows\Temp\, indicando la cartella temporanea di Windows, un luogo comune per malware o attività non autorizzate.
• Filtri più specifici sono applicati all’interno delle directory utente (:\Users\), concentrandosi su sottodirectory come:\Favourites\ (tenendo conto delle diverse grafie regionali)\Contacts\
\Pictures\

Questi filtri specifici di directory suggeriscono che la query è interessata a identificare se clfs.sys o moduli di sistema simili vengono caricati da posizioni insolite o potenzialmente compromesse all’interno dello spazio utente, il che potrebbe indicare attività dannose. L’attenzione su queste particolari directory e sottodirectory implica una preoccupazione per l’integrità dei dati, la privacy o il potenziale movimento laterale all’interno di una rete.

In sostanza, questa query di Microsoft Sentinel è progettata per scoprire il caricamento sospetto di driver di sistema Windows da percorsi non standard, in particolare quelli associati ai dati degli utenti, all’archiviazione temporanea o ad altre aree che tipicamente non sono coinvolte in operazioni a livello di sistema. Questo potrebbe aiutare i team di sicurezza a identificare e rispondere a potenziali minacce, come accessi non autorizzati a dati sensibili o software dannosi che tentano di mimetizzarsi in attività legittime del sistema.