Kaspersky Security Center: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-781	Множество хостов заражены одним типом ВПО	Правило направлено на поиск множества срабатываний одного вердикта средств антивирусной защиты (АВЗ) на разных хостах. Данная активность является нетипичной и может свидетельствовать о массовом заражении хостов подсети одним вредоносным программным обеспечением (ВПО).	Resource Development (TA0042) Execution (TA0002) User Execution (T1204) Malicious File (T1204.002) Malicious Image (T1204.003) Obtain Capabilities (T1588) Malware (T1588.001) Stage Capabilities (T1608) Upload Malware (T1608.001)
RV-D-949	Множественное срабатывание вердиктов средств АВЗ на одном хосте	Правило направлено на поиск множественных срабатываний средств антивирусной защиты (далее - АВЗ) с различными вердиктами на одном хосте. Данная активность может свидетельствовать о деятельности на хосте атакующего, который развивает свое присутствие в системе за счет использования вредоносного программного обеспечения (ВПО) различного рода. Также данная активность может свидетельствовать о наличии на хосте нелегитимного программного обеспечения, из-за которого происходит множественное срабатывание средств АВЗ.	Resource Development (TA0042) Execution (TA0002) User Execution (T1204) Malicious File (T1204.002) Malicious Image (T1204.003) Obtain Capabilities (T1588) Malware (T1588.001) Stage Capabilities (T1608) Upload Malware (T1608.001)
RV-D-950	Зафиксирована сетевая атака	Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) сетевой атаки. Данная активность может свидетельствовать о деятельности атакующих по изучению инфраструктуры с зараженного хоста.	Reconnaissance (TA0043) Gather Victim Identity Information (T1589) Gather Victim Network Information (T1590) Gather Victim Host Information (T1592) Active Scanning (T1595) Scanning IP Blocks (T1595.001)
RV-D-951	Включение учетной записи пользователя на сервере KSC	Атакующие могут создать учетную запись и использовать ее для изменения настроек на сервере KSC. Использование новой учетной записи может затруднить расследование инцидента. Включение учетной записи осуществляется за счет перевода параметра Отключить учетную запись из состояния Выключено в состояние Включено.	Initial Access (TA0001) Persistence (TA0003) Privilege Escalation (TA0004) Valid Accounts (T1078) Account Manipulation (T1098)
RV-D-952	Повторное заражение хоста одним вирусом	Данное правило срабатывает при повторном обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения, которое ранее по каким-либо причинам не было удалено. Также данное правило срабатывает, если одно и то же вредоносное программное обеспечение (ВПО) было обнаружено в разных директориях спустя определенный промежуток времени. Подобная активность может свидетельствовать о возможном заражении хоста ВПО.	Execution (TA0002) Taint Shared Content (T1080) User Execution (T1204) Malicious File (T1204.002) Malicious Image (T1204.003) Exploitation of Remote Services (T1210)
RV-D-954	Успешное исполнение задачи на удаленную установку программы средствами KSC	Правило детектирует исполнение задачи на удаленную установку программы средствами KSC. Данная активность может быть как легитимными действиями системного администратора по удаленной установке программы, так и нелегитимными действиями, направленными на установку вредоносного ПО. В случае возникновения активности необходимо выяснить требуемую информацию у владельца учетной записи, который является инициатором активности. В случае нелегитимности необходимо удалить программы со всех атакованных машин.	Execution (TA0002) Software Deployment Tools (T1072) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-968	Подключение недоверенного устройства	Данное правило направлено на детектирование подключения недоверенных устройств к узлу. Недоверенным устройством считается устройство, которое отсутствует в списке разрешенных к подключению. Данный список заполняется в Kaspersky Endpoint Security. Подключение такого устройства может нанести ущерб ИС компании. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за учетную запись. Если подтверждения легитимности не последовало, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, с которого осуществлялись подозрительные действия, и инициировать внутреннее расследование.	Initial Access (TA0001) Replication Through Removable Media (T1091) Remote Access Tools (T1219) Remote Access Hardware (T1219.003)
RV-D-969	Зафиксирован переход по опасной ссылке	Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) перехода по опасной ссылке. Это может свидетельствовать как о попытке перехода по фишинговой ссылке пользователем, так и об активности вредоносного программного обеспечения (ВПО) на хосте.	Execution (TA0002) User Execution (T1204) Malicious Link (T1204.001) Phishing for Information (T1598) Spearphishing Link (T1598.003) Stage Capabilities (T1608) Link Target (T1608.005)
RV-D-971	Не было удалено обнаруженное средствами АВЗ ВПО	Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения (ВПО), которое не было удалено, вылечено или запрещено. Данная активность может свидетельствовать о возможном заражении хоста ВПО.	Resource Development (TA0042) Execution (TA0002) User Execution (T1204) Malicious File (T1204.002) Obtain Capabilities (T1588) Malware (T1588.001)
RV-D-972	Удалено обнаруженное средствами АВЗ ВПО	Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения (ВПО), которое было удалено, вылечено или запрещено. Данная активность может свидетельствовать о возможном заражении хоста вредоносным программным обеспечением. При анализе срабатывания следует обратить внимание на тип ВПО, а также на иные смежные срабатывания средств АВЗ. Дополнительно требуется установить причины появления ВПО на хосте, опросив ответственного за хост пользователя. Если установить причины появления ВПО на хосте не удалось, необходимо провести полную внеплановую проверку средствами АВЗ и изолировать хост на время разбирательства по инциденту.	Execution (TA0002) User Execution (T1204) Malicious File (T1204.002) Obtain Capabilities (T1588) Malware (T1588.001)
RV-D-976	Изменена критичная политика продукта Kaspersky	Данное правило срабатывает при обнаружении изменения критичной политики продукта Kaspersky. В результате данной активности на хосте может быть изменена важная политика, которая нарушит стабильное функционирование средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-977	На сервере KSC созданы пакет установки и удаленная задача на установку пакета	Правило детектирует создание пакета установки и удаленной задачи на установку. Данная активность может быть как легитимными действиями системного администратора по установке новых пакетов, так и нелегитимными действиями, направленными на установку нежелательных пакетов. Поскольку учетная запись KSC имеет повышенные привилегии, то и установка пакетов будет осуществлена с высокими привилегиями. В случае возникновения активности необходимо выяснить требуемую информацию у владельца учетной записи, который является инициатором активности. В случае нелегитимности необходимо деинсталлировать пакет с сервера KSC. В случае если пакет был установлен на иных машинах, то также удалить его там.	Execution (TA0002) Defense Evasion (TA0005) Software Deployment Tools (T1072) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-982	Зафиксировано отключение задачи средств AV-защиты Kaspersky	Данное правило срабатывает при обнаружении отключения задачи средств AV-защиты Kaspersky. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-983	Устройство перемещено в группу администрирования на сервере KSC	Устройство перемещено в группу администрирования на сервере KSC. Перемещение хостов между группами в Kaspersky Security Center может быть опасным из-за возможного нарушения политики безопасности, потери контроля и мониторинга, конфликтов конфигураций, уязвимостей и неавторизованных изменений. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-987	Исполнение задачи на установку программы через установочные пакеты	Правило детектирует успешное исполнение задачи на удаленную установку программы средствами KSC при помощи инсталляционного пакета. Данная активность может быть как легитимными действиями системного администратора по удаленной установке программы, так и нелегитимными действиями, направленными на установку вредоносного/нежелательного ПО.	Execution (TA0002) Defense Evasion (TA0005) Software Deployment Tools (T1072) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-989	Зафиксированы устаревшие базы антивирусного ПО Kaspersky	Данное правило срабатывает при обнаружении устаревших баз антивирусного ПО Kaspersky. Существует два события устаревших баз: Базы сильно устарели и Базы устарели. Событие Базы устарели означает, что антивирусные базы не обновлялись в течение семи дней. Событие Базы сильно устарели означает, что антивирусные базы не обновлялись в течение четырнадцати дней.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-990	Устройство давно не подключалось к серверу KSC	Правило детектирует событие Давно не подключался к серверу администрирования KSC. Устройство получает данный статус в ситуации, когда оно долгое время не соединялось с сервером администрирования, хотя находится в сети. Мониторинг этого события необходим, поскольку отсутствие регулярного подключения к серверу может свидетельствовать о проблемах с агентом защиты, его возможном отключении или компрометации устройства. На данный момент правило ориентировано на русифицированную версию KSC, на английской версии оно может не срабатывать. При срабатывании правила рекомендуется проверить доступность устройства в сети, корректность работы агента Kaspersky и уточнить причину отсутствия соединения. Если по данным пользователя объяснить отсутствие подключения не удается, рекомендуется инициировать ручную проверку устройства на предмет отключения или повреждения защитного ПО и при необходимости временно изолировать его от корпоративной сети до устранения проблемы.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-991	Создание и исполнение задачи на удаленную деинсталляцию программы средствами KSC	Правило детектирует создание и исполнение задачи на удаленную деинсталляцию программы. Данная активность может быть как легитимными действиями системного администратора по удалению ненужных программ, так и нелегитимными действиями, направленными на удаление агента администрирования Kaspersky Security Center.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-994	Отключение продукта Kaspersky в результате выполнения задачи	Данное правило срабатывает при обнаружении остановки работы определенного продукта Kaspersky в результате выполнения задачи. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты, что в дальнейшем может привести к заражению вредоносным программным обеспечением (ВПО).	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-997	Отключение компонентов защиты продуктов Kaspersky	Данное правило срабатывает при обнаружении отключения компонентов продукта Kaspersky. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-998	Изменение политик администрирования на сервере KSC	Правило детектирует изменение политик администрирования на сервере KSC. В результате данной активности на хосте может быть изменена важная политика, которая нарушит стабильное функционирование средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)

ID правила

Название правила

Описание

Тактики и техники

RV-D-781

Множество хостов заражены одним типом ВПО

Правило направлено на поиск множества срабатываний одного вердикта средств антивирусной защиты (АВЗ) на разных хостах. Данная активность является нетипичной и может свидетельствовать о массовом заражении хостов подсети одним вредоносным программным обеспечением (ВПО).

Resource Development (TA0042)
Execution (TA0002)
User Execution (T1204)
Malicious File (T1204.002)
Malicious Image (T1204.003)
Obtain Capabilities (T1588)
Malware (T1588.001)
Stage Capabilities (T1608)
Upload Malware (T1608.001)

RV-D-949

Множественное срабатывание вердиктов средств АВЗ на одном хосте

Правило направлено на поиск множественных срабатываний средств антивирусной защиты (далее - АВЗ) с различными вердиктами на одном хосте. Данная активность может свидетельствовать о деятельности на хосте атакующего, который развивает свое присутствие в системе за счет использования вредоносного программного обеспечения (ВПО) различного рода. Также данная активность может свидетельствовать о наличии на хосте нелегитимного программного обеспечения, из-за которого происходит множественное срабатывание средств АВЗ.

Resource Development (TA0042)
Execution (TA0002)
User Execution (T1204)
Malicious File (T1204.002)
Malicious Image (T1204.003)
Obtain Capabilities (T1588)
Malware (T1588.001)
Stage Capabilities (T1608)
Upload Malware (T1608.001)

RV-D-950

Зафиксирована сетевая атака

Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) сетевой атаки. Данная активность может свидетельствовать о деятельности атакующих по изучению инфраструктуры с зараженного хоста.

Reconnaissance (TA0043)
Gather Victim Identity Information (T1589)
Gather Victim Network Information (T1590)
Gather Victim Host Information (T1592)
Active Scanning (T1595)
Scanning IP Blocks (T1595.001)

RV-D-951

Включение учетной записи пользователя на сервере KSC

Атакующие могут создать учетную запись и использовать ее для изменения настроек на сервере KSC. Использование новой учетной записи может затруднить расследование инцидента. Включение учетной записи осуществляется за счет перевода параметра Отключить учетную запись из состояния Выключено в состояние Включено.

Initial Access (TA0001)
Persistence (TA0003)
Privilege Escalation (TA0004)
Valid Accounts (T1078)
Account Manipulation (T1098)

RV-D-952

Повторное заражение хоста одним вирусом

Данное правило срабатывает при повторном обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения, которое ранее по каким-либо причинам не было удалено. Также данное правило срабатывает, если одно и то же вредоносное программное обеспечение (ВПО) было обнаружено в разных директориях спустя определенный промежуток времени. Подобная активность может свидетельствовать о возможном заражении хоста ВПО.

Execution (TA0002)
Taint Shared Content (T1080)
User Execution (T1204)
Malicious File (T1204.002)
Malicious Image (T1204.003)
Exploitation of Remote Services (T1210)

RV-D-954

Успешное исполнение задачи на удаленную установку программы средствами KSC

Правило детектирует исполнение задачи на удаленную установку программы средствами KSC. Данная активность может быть как легитимными действиями системного администратора по удаленной установке программы, так и нелегитимными действиями, направленными на установку вредоносного ПО. В случае возникновения активности необходимо выяснить требуемую информацию у владельца учетной записи, который является инициатором активности. В случае нелегитимности необходимо удалить программы со всех атакованных машин.

Execution (TA0002)
Software Deployment Tools (T1072)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-968

Подключение недоверенного устройства

Данное правило направлено на детектирование подключения недоверенных устройств к узлу. Недоверенным устройством считается устройство, которое отсутствует в списке разрешенных к подключению. Данный список заполняется в Kaspersky Endpoint Security. Подключение такого устройства может нанести ущерб ИС компании. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за учетную запись. Если подтверждения легитимности не последовало, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, с которого осуществлялись подозрительные действия, и инициировать внутреннее расследование.

Initial Access (TA0001)
Replication Through Removable Media (T1091)
Remote Access Tools (T1219)
Remote Access Hardware (T1219.003)

RV-D-969

Зафиксирован переход по опасной ссылке

Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) перехода по опасной ссылке. Это может свидетельствовать как о попытке перехода по фишинговой ссылке пользователем, так и об активности вредоносного программного обеспечения (ВПО) на хосте.

Execution (TA0002)
User Execution (T1204)
Malicious Link (T1204.001)
Phishing for Information (T1598)
Spearphishing Link (T1598.003)
Stage Capabilities (T1608)
Link Target (T1608.005)

RV-D-971

Не было удалено обнаруженное средствами АВЗ ВПО

Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения (ВПО), которое не было удалено, вылечено или запрещено. Данная активность может свидетельствовать о возможном заражении хоста ВПО.

Resource Development (TA0042)
Execution (TA0002)
User Execution (T1204)
Malicious File (T1204.002)
Obtain Capabilities (T1588)
Malware (T1588.001)

RV-D-972

Удалено обнаруженное средствами АВЗ ВПО

Данное правило срабатывает при обнаружении средствами антивирусной защиты (АВЗ) потенциального вредоносного программного обеспечения (ВПО), которое было удалено, вылечено или запрещено. Данная активность может свидетельствовать о возможном заражении хоста вредоносным программным обеспечением. При анализе срабатывания следует обратить внимание на тип ВПО, а также на иные смежные срабатывания средств АВЗ. Дополнительно требуется установить причины появления ВПО на хосте, опросив ответственного за хост пользователя. Если установить причины появления ВПО на хосте не удалось, необходимо провести полную внеплановую проверку средствами АВЗ и изолировать хост на время разбирательства по инциденту.

Execution (TA0002)
User Execution (T1204)
Malicious File (T1204.002)
Obtain Capabilities (T1588)
Malware (T1588.001)

RV-D-976

Изменена критичная политика продукта Kaspersky

Данное правило срабатывает при обнаружении изменения критичной политики продукта Kaspersky. В результате данной активности на хосте может быть изменена важная политика, которая нарушит стабильное функционирование средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-977

На сервере KSC созданы пакет установки и удаленная задача на установку пакета

Правило детектирует создание пакета установки и удаленной задачи на установку. Данная активность может быть как легитимными действиями системного администратора по установке новых пакетов, так и нелегитимными действиями, направленными на установку нежелательных пакетов. Поскольку учетная запись KSC имеет повышенные привилегии, то и установка пакетов будет осуществлена с высокими привилегиями. В случае возникновения активности необходимо выяснить требуемую информацию у владельца учетной записи, который является инициатором активности. В случае нелегитимности необходимо деинсталлировать пакет с сервера KSC. В случае если пакет был установлен на иных машинах, то также удалить его там.

Execution (TA0002)
Defense Evasion (TA0005)
Software Deployment Tools (T1072)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-982

Зафиксировано отключение задачи средств AV-защиты Kaspersky

Данное правило срабатывает при обнаружении отключения задачи средств AV-защиты Kaspersky. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-983

Устройство перемещено в группу администрирования на сервере KSC

Устройство перемещено в группу администрирования на сервере KSC. Перемещение хостов между группами в Kaspersky Security Center может быть опасным из-за возможного нарушения политики безопасности, потери контроля и мониторинга, конфликтов конфигураций, уязвимостей и неавторизованных изменений. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-987

Исполнение задачи на установку программы через установочные пакеты

Правило детектирует успешное исполнение задачи на удаленную установку программы средствами KSC при помощи инсталляционного пакета. Данная активность может быть как легитимными действиями системного администратора по удаленной установке программы, так и нелегитимными действиями, направленными на установку вредоносного/нежелательного ПО.

Execution (TA0002)
Defense Evasion (TA0005)
Software Deployment Tools (T1072)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-989

Зафиксированы устаревшие базы антивирусного ПО Kaspersky

Данное правило срабатывает при обнаружении устаревших баз антивирусного ПО Kaspersky. Существует два события устаревших баз: Базы сильно устарели и Базы устарели. Событие Базы устарели означает, что антивирусные базы не обновлялись в течение семи дней. Событие Базы сильно устарели означает, что антивирусные базы не обновлялись в течение четырнадцати дней.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-990

Устройство давно не подключалось к серверу KSC

Правило детектирует событие Давно не подключался к серверу администрирования KSC. Устройство получает данный статус в ситуации, когда оно долгое время не соединялось с сервером администрирования, хотя находится в сети. Мониторинг этого события необходим, поскольку отсутствие регулярного подключения к серверу может свидетельствовать о проблемах с агентом защиты, его возможном отключении или компрометации устройства. На данный момент правило ориентировано на русифицированную версию KSC, на английской версии оно может не срабатывать. При срабатывании правила рекомендуется проверить доступность устройства в сети, корректность работы агента Kaspersky и уточнить причину отсутствия соединения. Если по данным пользователя объяснить отсутствие подключения не удается, рекомендуется инициировать ручную проверку устройства на предмет отключения или повреждения защитного ПО и при необходимости временно изолировать его от корпоративной сети до устранения проблемы.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-991

Создание и исполнение задачи на удаленную деинсталляцию программы средствами KSC

Правило детектирует создание и исполнение задачи на удаленную деинсталляцию программы. Данная активность может быть как легитимными действиями системного администратора по удалению ненужных программ, так и нелегитимными действиями, направленными на удаление агента администрирования Kaspersky Security Center.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-994

Отключение продукта Kaspersky в результате выполнения задачи

Данное правило срабатывает при обнаружении остановки работы определенного продукта Kaspersky в результате выполнения задачи. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты, что в дальнейшем может привести к заражению вредоносным программным обеспечением (ВПО).

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-997

Отключение компонентов защиты продуктов Kaspersky

Данное правило срабатывает при обнаружении отключения компонентов продукта Kaspersky. В результате данной активности на хосте может быть полностью отключена работа средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-998

Изменение политик администрирования на сервере KSC

Правило детектирует изменение политик администрирования на сервере KSC. В результате данной активности на хосте может быть изменена важная политика, которая нарушит стабильное функционирование средств AV-защиты. Такая активность может привести к отсутствию защиты на хосте и в дальнейшем к заражению вредоносным программным обеспечением.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

Была ли полезна эта страница?

Обратная связь