EDR (Linux) | One-shot

Параметры для jobs.json:

module_name

edrcore-linux

runner_name

One-shot

params

  • sinks — приемники/очереди событий;

  • configs — типы содержимого источников данных:

    • baseTelemetry — базовые правила сбора телеметрии;

    • extraTelemetry — дополнительные (пользовательские) правила сбора телеметрии;

    • telemetryExcludes — пользовательские исключения правил сбора телеметрии;

    • baseDetection — базовые правила обнаружения и реагирования;

    • extraDetection — дополнительные (пользовательские) правила обнаружения и реагирования;

    • detectionExcludes — пользовательские исключения правил обнаружения и реагирования

feeds.type

  • EDR Rules (Linux)

  • EDR Extra Rules (Linux)

  • EDR Telemetry Excludes (Linux)

  • EDR Detects (Linux)

  • EDR Extra Detects (Linux)

  • EDR Detects Excludes (Linux)

  • YaraRules

  • IOC Rules

  • Extra IOC Rules

Пример записи в jobs.json:

{
  "jobs": [
    {
      "id": "7f2ab99d-2e41-4503-be9b-d67dd2f86293",
      "module_name": "edrcore-linux",
      "runner_name": "One-shot",
      "params": "{\"thpQueue\":\"kafka_name|topic_name\",\"sinks\":{\"telemetry\":[{\"type\":\"SensorsServer\",\"queue\":\"kafka_name|topic_name\"}]},\"configs\":{\"baseTelemetry\":{\"name\":\"EDR Rules (Linux)\",\"type\":\"feed\",\"contentType\":\"EDR Rules (Linux)\",\"uuid\":\"48f3a289-f38e-492b-9edc-d95351b85a2f\"},\"extraTelemetry\":{\"type\":\"plainText\",\"contentType\":\"EDR Extra Rules (Linux)\",\"data\":\"123456\"},\"telemetryExcludes\":{\"name\":\"EDR Telemetry Excludes (Linux)\",\"type\":\"feed\",\"contentType\":\"EDR Telemetry Excludes (Linux)\",\"uuid\":\"c65fe0c2-40ea-453c-9916-aa053368281d\"},\"baseDetection\":{\"name\":\"EDR Detects (Linux)\",\"type\":\"feed\",\"contentType\":\"EDR Detects (Linux)\",\"uuid\":\"20547bdf-2b44-4695-9812-b172daaa7a91\"},\"extraDetection\":{\"type\":\"plainText\",\"contentType\":\"EDR Extra Detects (Linux)\",\"data\":\"йцукенг\"},\"detectionExcludes\":{\"name\":\"config1.toml\",\"type\":\"serverFile\",\"contentType\":\"EDR Detects Excludes (Linux)\",\"uuid\":\"f73ba1bc-053e-4c19-b78c-5ad1c493ef55\"},\"baseIOC\":{\"name\":\"IOC Rules\",\"type\":\"feed\",\"contentType\":\"IOC Rules\",\"uuid\":\"e0a05aeb-d9be-41d1-b637-9ae959b864d7\"},\"userIOC\":{\"name\":\"Extra IOC Rules\",\"type\":\"feed\",\"contentType\":\"Extra IOC Rules\",\"uuid\":\"fd148567-ee70-4f60-a4f7-867c4a5e29a4\"}}}",
      "timeout": 10,
      "feeds": [{"id": "7f2ab99d-2e41-4503-be9b-d67dd2f86293", "type": "EDR Rules (Linux)"}]
    }
  ]
}