Skip to content

Unit tests for mitre attack rules #355

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 80 commits into
base: master
Choose a base branch
from
Open

Unit tests for mitre attack rules #355

wants to merge 80 commits into from

Conversation

shadow2033
Copy link

Russian:

В этом (Pull Request) я внес изменения, связанные с добавлением модульных тестов для правил (mitre attack) расположенных в директории packages/windows_open_package/correlation_rules. Эти изменения позволят нам обеспечить более высокую степень уверенности в работоспособности

English:

In this (Pull Request) I have made changes to add unit tests for rules (mitre attacks) located in the packages/windows_open_package/correlation_rules directory. These changes will allow us to provide a higher degree of assurance that the rules are working properly

shadow2033 added 30 commits July 27, 2023 10:57
@shadow2033
Добавлены модульные тесты для правила (RDP_Tunneling)
f98b3d9
@shadow2033
Добавлены модульные тесты для правила (RDP_Tunneling_via_SSH_5156)
a52fe44
@shadow2033
Добавлены модульные тесты для правила (Chrome_firefox_opera_cred_read)
1533d64
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Credentials_Mini…
b14976a 
…DumpWriteDump_Lsass)
@shadow2033
Добавлены модульные тесты для правила (DCSync)
41cfcfd
@shadow2033
Добавлены модульные тесты для правила (Dump_lsass_via_process_access)
14f6eab
@shadow2033
Добавлены модульные тесты для правила (KeePass_CredDump)
40948d7
@shadow2033
расширил поля данных которые мы ожидаем для правила (Keepass_Key_Dump…
19ad9a8 
…_Via_KeeThief). Удалил повторяющиеся модульные тесты.
@shadow2033
Добавлены модульные тест для правила (Kerberos_pwd_spraying)
112eb86
@shadow2033
Добавлен модульный тест для правила (LSASS_Dump_Create)
f6774e0
@shadow2033
Добавлены модульные тесты для правила (Mimikatz)
1eba465
@shadow2033
Удалил повторяющиеся тесты, расширил поля данных которые мы ожидаем д…
d184328 
…ля правила (Mimikatz_Memssp_Default_Log_Detected)

Для второго модульного теста изменил "условие  прохождение теста" на (expect not {
    "correlation_name": "Mimikatz_Memssp_Default_Log_Detected"
} )
@shadow2033
Добавлен модульный тест для правила (Phishing_windows_credentials_pow…
6ab4993 
…ershell_scriptblock)
@shadow2033
Добавлены модульные тесты для правила (PPL_Bypass_via_PPLDump_Tool)
8f87f1b
@shadow2033
Добавлены модульные тесты для правила (Remote_registry_access)
1b21958
@shadow2033
Добавлен модульный тест для правила (Change_powershell_policy_registry)
467a7ec
@shadow2033
Добавлен модульный тест, расширил поля данных которые мы ожидаем для …
f9e306a 
…правила(Clearing_eventlog)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (DCShadow_Attack)
6937ce3
@shadow2033
Добавлен модульный тест для правила (Detect_Fake_ComputerAccount)
7f683b1
@shadow2033
Добавлен модульный тест для правила (Detect_hiding_files_via_attrib_c…
1827988 
…mdlet)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Detect_lolbin_pc…
bd44631 
…alua_exec)
@shadow2033
Добавлен модульный тест для правила (ImageLoad_from_Network_Share_to_…
c25f538 
…LSASS)
@shadow2033
Добавлены модульные тесты для правила (Portproxy_netsh)
ee693bc
@shadow2033
Добавлены модульные тесты для правила (RDP_settings_tampering)
2544e5f
@shadow2033
Добавлен модульный тест для правила (ReverseShell_created_via_PEInjec…
3f12eab 
…tion)
@shadow2033
Добавлен модульный тест для правила (Subrule_ParentPid_Spoofing)
4cb1f6e
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Suspend_Process)
7e794fb
@shadow2033
Добавлен модульный тест для правила (Suspicious_Explorer_Injection)
bd71b62
@shadow2033
Добавлен модульный тест для правила (Bloodhound)
2e5488c
@shadow2033
Добавлены модульные тесты для правила (Enumeration_Users_In_Groups)
ea42aec
shadow2033 and others added 30 commits August 2, 2023 10:38
@shadow2033
Добавлен модульный тесты для правила (sAMAccountName_Spoofing)
e3deb0f
@shadow2033
Удалил повторяющиеся модульные тесты, расширил поля данных которые мы…
ea3438a 
… ожидаем для правила (UACME_23_DismCore_Hijacking)
@shadow2033
Добавлен модульный тесты, расширил поля данных которые мы ожидаем для…
6063aa6 
… правила (UAC_Bypass_Via_Consent)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Unquoted_Servic…
ce7ec20 
…e_Path_Abuse)
@shadow2033
Merge branch 'feature/add_Change_powershell_policy_registry_unit_test'
33972d6
@shadow2033
Merge branch 'feature/add_Change_wmi_subscription_unit_test'
fdeea8a
@shadow2033
Merge branch 'feature/add_Chrome_firefox_opera_cred_read_unit_test'
5a251fe
@shadow2033
Merge branch 'feature/add_Clearing_eventlog_unit_test'
ef69097
@shadow2033
Merge branch 'feature/add_CreateProcessAsUser_Impersonation_unit_test'
c7168e3
@shadow2033
Merge branch 'feature/add_Create_hidden_local_account_unit_test'
032263f
@shadow2033
Merge branch 'feature/add_Create_persist_via_Hidden_Run_key_value_uni…
c2838ad 
…t_test'
@shadow2033
Merge branch 'feature/add_Create_persist_via_WinlogonShell_unit_test'
1610204
@shadow2033
Merge branch 'feature/add_Credentials_MiniDumpWriteDump_Lsass_unit_test'
27d3c08
@shadow2033
Merge branch 'feature/add_DCShadow_Attack_unit_test'
33ac8c6
@shadow2033
Merge branch 'feature/add_DCSync_prepare_Add_replicatation_rights_to_…
3f4edf6 
…Account_unit_test'
@shadow2033
Merge branch 'feature/add_DCSync_unit_test'
fb22634
@shadow2033
Merge branches 'feature/add_DSRM_Password_Changed_unit_test', 'featur…
1b32d33 
…e/add_Detect_Fake_ComputerAccount_unit_test' and 'feature/add_Detect_Pass_the_Hash_via_Mimikatz_local_unit_test'
@shadow2033
Merge branch 'feature/add_Detect_execution_imageload_wuauclt_lolbas_u…
3b7c04b 
…nit_test'
@shadow2033
Merge branch 'feature/add_Detect_hiding_files_via_attrib_cmdlet_unit_…
999caa0 
…test'
@shadow2033
Merge branches 'feature/add_Detect_lolbin_pcalua_exec_unit_test', 'fe…
77e1b0b 
…ature/add_Dump_lsass_via_process_access_unit_test' and 'feature/add_Enumeration_Users_In_Groups_unit_test'
@shadow2033
Merge branches 'feature/add_ImageLoad_from_Network_Share_to_LSASS_uni…
3ea798e 
…t_test', 'feature/add_Impacket_WMIExec_Command_Executed_unit_test', 'feature/add_KeePass_CredDump_unit_test', 'feature/add_Keepass_Key_Dump_Via_KeeThief_unit_test' and 'feature/add_Kerberos_pwd_spraying_unit_test'
@shadow2033
Merge branches 'feature/add_LSASS_Dump_Create_unit_test', 'feature/ad…
6734bc1 
…d_Local_Groups_Enumeration_Discovery_unit_test', 'feature/add_Mimikatz_Memssp_Default_Log_Detected_unit_test', 'feature/add_Mimikatz_unit_test' and 'feature/add_Named_Pipe_Impersonation_PrivEsc_unit_test'
@shadow2033
Merge branches 'feature/add_PPL_Bypass_via_PPLDump_Tool_unit_test', '…
db33fa6 
…feature/add_Phishing_windows_credentials_powershell_scriptblock_unit_test', 'feature/add_Portproxy_netsh_unit_test', 'feature/add_Potential_Privileged_Escalation_via_KrbRelayUp_unit_test' and 'feature/add_ProxyNotShell_unit_test'
@shadow2033
Merge branches 'feature/add_RDP_Tunneling_unit_test', 'feature/add_RD…
04f4add 
…P_Tunneling_via_SSH_5156_unit_test', 'feature/add_RDP_settings_tampering_unit_test', 'feature/add_Remote_registry_access_unit_test' and 'feature/add_ReverseShell_created_via_PEInjection_unit_test'
@shadow2033
Merge branches 'feature/add_Schtasks_Commandline_unit_test', 'feature…
f2d7f77 
…/add_Start_process_as_vshadow_child_unit_test', 'feature/add_Subrule_ParentPid_Spoofing_unit_test', 'feature/add_Suspend_Process_unit_test' and 'feature/add_Suspicious_Explorer_Injection_unit_test'
@shadow2033
Merge branches 'feature/add_UACME_23_DismCore_Hijacking_unit_test', '…
c240f9d 
…feature/add_UAC_Bypass_Via_Consent_unit_test', 'feature/add_Unquoted_Service_Path_Abuse_unit_test', 'feature/add_Use_persist_Start_process_via_WinlogonShell_unit_test', 'feature/add_VSSVC_service_state_changed_unit_test', 'feature/add_XP_Cmdshell_Enable_unit_test', 'feature/add_XP_Cmdshell_Usage_unit_test' and 'feature/add_sAMAccountName_Spoofing_unit_test'
@shadow2033
Create test_1.sc модульные тесты для правила(ParentPid_Spoofing)
ed90660
@shadow2033
Merge branch 'Security-Experts-Community:master' into master
b8cba5a
fix Chrome_firefox_opera_cred_read test 4
dbd3fd5
fix UAC_Bypass_Via_Consent test 3
468db61
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
1 participant
@shadow2033