Atlassian Jira: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1193	Создание множества задач пользователем в Jira	Массовое создание задач в Jira может указывать на попытку намеренно перегрузить систему (DoS) либо замаскировать иную подозрительную активность. Подобные действия способны негативно сказаться на рабочих процессах, привести к повышенной нагрузке на ресурсы и усложнить контроль за актуальными задачами. Следует учитывать, что автоматизированное или неконтролируемое добавление задач нередко применяется как способ отвлечения внимания, что затрудняет своевременное выявление действительно значимых инцидентов. Кроме того, такие действия могут использоваться для усложнения анализа происходящего и искусственного формирования ложных приоритетов в области информационной безопасности.	Impact (TA0040) Endpoint Denial of Service (T1499) Application Exhaustion Flood (T1499.003) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1194	Удаление множества задач пользователем в Jira	Удаление множества задач в Jira за короткий промежуток времени может быть признаком потенциально вредоносной активности, связанной с попыткой атакующего скрыть следы предыдущей деятельности или манипулировать рабочими процессами. Такое поведение может привести к утрате важной информации и нарушению планов работы в управлении проектами. Это также может затруднить расследование инцидентов безопасности, так как удаленные задачи могут содержать критические данные о прогрессе проекта или уязвимостях. Массовое удаление задач может также сигнализировать о сбоях в интеграции или ошибочной автоматизации.	Impact (TA0040) Data Destruction (T1485) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1195	Множество неудачных попыток входа в Jira	Множество неудачных попыток входа может указывать на попытку подбора пароля или осуществление bruteforce-атаки, направленной на кражу учетных записей. Такое поведение свидетельствует о возможном вмешательстве атакующего, который пытается получить несанкционированный доступ к системе Jira. В случае успешного доступа это может привести к утечке конфиденциальной информации, изменению настроек системы, удалению или изменению задач, а также к другим действиям, нарушающим работу системы. Постоянные неудачные попытки входа также могут перегрузить систему или привести к временной блокировке учетных записей.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1196	Создание пользователя в Jira	Правило направлено на обнаружение активности, связанной с добавлением новых учетных записей в систему. Такое поведение может быть признаком попытки атакующего создать привилегированные учетные записи для дальнейшей работы под ними, чтобы не привлекать внимание. При успешном добавлении новых пользователей с повышенными привилегиями атакующий может получить доступ к конфиденциальной информации, изменять данные, выполнять команды или скрывать свои действия в системе. Это может привести к утечке данных и нарушению работоспособности сервисов.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001)
RV-D-1197	Изменение конфигурации журналов логирования в Jira	Изменение конфигурации журналов логирования в Jira может быть признаком попытки атакующего скрыть следы своей деятельности или снизить видимость критических событий в системе. Изменение параметров логирования, особенно отключение журналов, приводит к потере возможности отслеживать важные действия, такие как попытки входа, изменения задач и конфигурации системы. Это затрудняет расследование инцидентов безопасности, так как отсутствие логов делает невозможным восстановление полной картины событий. Без надлежащего логирования можно пропустить аномалии и подозрительные действия, что повышает риск незамеченных атак.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1224	Дамп множества задач в Jira	Дамп множества задач одним пользователем за короткий промежуток времени в Jira может быть признаком подозрительной активности, связанной с потенциальной утечкой данных. Экспорт информации сразу из нескольких проектов может использоваться атакующим для получения конфиденциальных данных о разработке, планировании, уязвимостях или внутренней структуре компании. Это может привести к утечке коммерческой тайны, раскрытию стратегий и нарушению безопасности проекта. Массовый дамп проектов может осуществляться сотрудником перед увольнением или для продажи данных конкурентам.	Collection (TA0009) Impact (TA0040) Data from Information Repositories (T1213) Confluence (T1213.001) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1228	Эксплуатация уязвимости в Jira — CVE-2023-26256	Данное правило направлено на обнаружение эксплуатации уязвимости CVE-2023-26256 типа Directory Traversal и Local File Inclusion (LFI) в плагине Stagil Navigation для Atlassian Jira. Уязвимость позволяет атакующим считывать произвольные файлы на сервере через специально сформированные HTTP-запросы, что позволяет обойти ограничения доступа и получить доступ к важным файлам системы. Эксплуатация возможна в версиях плагина ниже 2.0.52. Правило срабатывает при обнаружении запросов, содержащих попытку доступа к файлам. Успешная эксплуатация может привести к утечке конфиденциальной информации или компрометации системы. В случае срабатывания правила необходимо получить разъяснения о причине данной активности от ответственного за учетную запись лица. В случае отсутствия обратной связи — заблокировать учетную запись сотрудника, заблокировать узел, с которого произошел запрос, и провести внутреннее расследование.	Initial Access (TA0001) Defense Evasion (TA0005) Credential Access (TA0006) Discovery (TA0007) Collection (TA0009) File and Directory Discovery (T1083) Exploit Public-Facing Application (T1190) Exploitation for Defense Evasion (T1211) Exploitation for Credential Access (T1212) Data from Information Repositories (T1213) Confluence (T1213.001) Unsecured Credentials (T1552) Chat Messages (T1552.008)
RV-D-1271	Добавление пользователя в критичные группы	Добавление учетной записи в группу с особыми привилегиями, доступ к которой ограничен, может представлять серьезную угрозу безопасности. Критичные группы обычно обладают расширенными правами на доступ к конфиденциальным данным, изменение конфигураций системы или управление ресурсами. Несанкционированное добавление в такую группу может свидетельствовать о компрометации учетной записи или внутренней угрозе. Атакующий может нарушить работу системы или изменить настройки безопасности.	Persistence (TA0003) Account Manipulation (T1098) Additional Local or Domain Groups (T1098.007)
RV-D-1310	Создание резервной копии Jira	Создание резервной копии Jira без предварительного согласования может быть опасным событием. Резервные копии содержат полный набор данных системы, включая конфиденциальную информацию: проекты, задачи, пользовательские данные, конфигурации и настройки безопасности. В случае несанкционированного создания резервной копии атакующий может получить доступ к данным, которые затем могут быть украдены, использованы для взлома системы или скомпрометированы. Кроме того, если резервная копия перемещена на внешнее устройство, это создает дополнительный риск утечки данных. Частое или несвоевременное создание резервных копий также может перегружать систему и создавать дополнительные риски для производительности, так как процесс резервного копирования использует ресурсы системы. Если резервные копии создаются без ведома администратора или в необычное время, это может свидетельствовать о потенциальной угрозе или нарушении безопасности. В случае срабатывания правила необходимо получить подтверждение легитимности активности от ответственного за учетную запись лица. В случае отсутствия подтверждения легитимности — заблокировать учетную запись сотрудника, провести внутреннее расследование.	Collection (TA0009) Impact (TA0040) Data from Information Repositories (T1213) Confluence (T1213.001) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1327	Экспорт множества задач в Jira	Экспорт множества задач в Jira может быть признаком потенциальной утечки данных. Атакующий, имея доступ к системе, может экспортировать чувствительную информацию о задачах, проектных планах, уязвимостях, логах и других важных данных. Это может привести к утечке конфиденциальной информации, компрометации коммерческой тайны или раскрытию данных о внутренней инфраструктуре компании. Экспорт большого количества задач может также использоваться как подготовительный этап для последующих атак или злоупотребления данными. В случае срабатывания правила необходимо получить подтверждение легитимности активности от лица, ответственного за учетную запись. В случае отсутствия подтверждения легитимности — заблокировать учетную запись сотрудника, провести внутреннее расследование.	Collection (TA0009) Impact (TA0040) Data from Information Repositories (T1213) Confluence (T1213.001) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1193

Создание множества задач пользователем в Jira

Массовое создание задач в Jira может указывать на попытку намеренно перегрузить систему (DoS) либо замаскировать иную подозрительную активность. Подобные действия способны негативно сказаться на рабочих процессах, привести к повышенной нагрузке на ресурсы и усложнить контроль за актуальными задачами. Следует учитывать, что автоматизированное или неконтролируемое добавление задач нередко применяется как способ отвлечения внимания, что затрудняет своевременное выявление действительно значимых инцидентов. Кроме того, такие действия могут использоваться для усложнения анализа происходящего и искусственного формирования ложных приоритетов в области информационной безопасности.

Impact (TA0040)
Endpoint Denial of Service (T1499)
Application Exhaustion Flood (T1499.003)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1194

Удаление множества задач пользователем в Jira

Удаление множества задач в Jira за короткий промежуток времени может быть признаком потенциально вредоносной активности, связанной с попыткой атакующего скрыть следы предыдущей деятельности или манипулировать рабочими процессами. Такое поведение может привести к утрате важной информации и нарушению планов работы в управлении проектами. Это также может затруднить расследование инцидентов безопасности, так как удаленные задачи могут содержать критические данные о прогрессе проекта или уязвимостях. Массовое удаление задач может также сигнализировать о сбоях в интеграции или ошибочной автоматизации.

Impact (TA0040)
Data Destruction (T1485)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1195

Множество неудачных попыток входа в Jira

Множество неудачных попыток входа может указывать на попытку подбора пароля или осуществление bruteforce-атаки, направленной на кражу учетных записей. Такое поведение свидетельствует о возможном вмешательстве атакующего, который пытается получить несанкционированный доступ к системе Jira. В случае успешного доступа это может привести к утечке конфиденциальной информации, изменению настроек системы, удалению или изменению задач, а также к другим действиям, нарушающим работу системы. Постоянные неудачные попытки входа также могут перегрузить систему или привести к временной блокировке учетных записей.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1196

Создание пользователя в Jira

Правило направлено на обнаружение активности, связанной с добавлением новых учетных записей в систему. Такое поведение может быть признаком попытки атакующего создать привилегированные учетные записи для дальнейшей работы под ними, чтобы не привлекать внимание. При успешном добавлении новых пользователей с повышенными привилегиями атакующий может получить доступ к конфиденциальной информации, изменять данные, выполнять команды или скрывать свои действия в системе. Это может привести к утечке данных и нарушению работоспособности сервисов.

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1197

Изменение конфигурации журналов логирования в Jira

Изменение конфигурации журналов логирования в Jira может быть признаком попытки атакующего скрыть следы своей деятельности или снизить видимость критических событий в системе. Изменение параметров логирования, особенно отключение журналов, приводит к потере возможности отслеживать важные действия, такие как попытки входа, изменения задач и конфигурации системы. Это затрудняет расследование инцидентов безопасности, так как отсутствие логов делает невозможным восстановление полной картины событий. Без надлежащего логирования можно пропустить аномалии и подозрительные действия, что повышает риск незамеченных атак.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1224

Дамп множества задач в Jira

Дамп множества задач одним пользователем за короткий промежуток времени в Jira может быть признаком подозрительной активности, связанной с потенциальной утечкой данных. Экспорт информации сразу из нескольких проектов может использоваться атакующим для получения конфиденциальных данных о разработке, планировании, уязвимостях или внутренней структуре компании. Это может привести к утечке коммерческой тайны, раскрытию стратегий и нарушению безопасности проекта. Массовый дамп проектов может осуществляться сотрудником перед увольнением или для продажи данных конкурентам.

Collection (TA0009)
Impact (TA0040)
Data from Information Repositories (T1213)
Confluence (T1213.001)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1228

Эксплуатация уязвимости в Jira — CVE-2023-26256

Данное правило направлено на обнаружение эксплуатации уязвимости CVE-2023-26256 типа Directory Traversal и Local File Inclusion (LFI) в плагине Stagil Navigation для Atlassian Jira. Уязвимость позволяет атакующим считывать произвольные файлы на сервере через специально сформированные HTTP-запросы, что позволяет обойти ограничения доступа и получить доступ к важным файлам системы. Эксплуатация возможна в версиях плагина ниже 2.0.52. Правило срабатывает при обнаружении запросов, содержащих попытку доступа к файлам. Успешная эксплуатация может привести к утечке конфиденциальной информации или компрометации системы. В случае срабатывания правила необходимо получить разъяснения о причине данной активности от ответственного за учетную запись лица. В случае отсутствия обратной связи — заблокировать учетную запись сотрудника, заблокировать узел, с которого произошел запрос, и провести внутреннее расследование.

Initial Access (TA0001)
Defense Evasion (TA0005)
Credential Access (TA0006)
Discovery (TA0007)
Collection (TA0009)
File and Directory Discovery (T1083)
Exploit Public-Facing Application (T1190)
Exploitation for Defense Evasion (T1211)
Exploitation for Credential Access (T1212)
Data from Information Repositories (T1213)
Confluence (T1213.001)
Unsecured Credentials (T1552)
Chat Messages (T1552.008)

RV-D-1271

Добавление пользователя в критичные группы

Добавление учетной записи в группу с особыми привилегиями, доступ к которой ограничен, может представлять серьезную угрозу безопасности. Критичные группы обычно обладают расширенными правами на доступ к конфиденциальным данным, изменение конфигураций системы или управление ресурсами. Несанкционированное добавление в такую группу может свидетельствовать о компрометации учетной записи или внутренней угрозе. Атакующий может нарушить работу системы или изменить настройки безопасности.

Persistence (TA0003)
Account Manipulation (T1098)
Additional Local or Domain Groups (T1098.007)

RV-D-1310

Создание резервной копии Jira

Создание резервной копии Jira без предварительного согласования может быть опасным событием. Резервные копии содержат полный набор данных системы, включая конфиденциальную информацию: проекты, задачи, пользовательские данные, конфигурации и настройки безопасности. В случае несанкционированного создания резервной копии атакующий может получить доступ к данным, которые затем могут быть украдены, использованы для взлома системы или скомпрометированы. Кроме того, если резервная копия перемещена на внешнее устройство, это создает дополнительный риск утечки данных. Частое или несвоевременное создание резервных копий также может перегружать систему и создавать дополнительные риски для производительности, так как процесс резервного копирования использует ресурсы системы. Если резервные копии создаются без ведома администратора или в необычное время, это может свидетельствовать о потенциальной угрозе или нарушении безопасности. В случае срабатывания правила необходимо получить подтверждение легитимности активности от ответственного за учетную запись лица. В случае отсутствия подтверждения легитимности — заблокировать учетную запись сотрудника, провести внутреннее расследование.

Collection (TA0009)
Impact (TA0040)
Data from Information Repositories (T1213)
Confluence (T1213.001)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1327

Экспорт множества задач в Jira

Экспорт множества задач в Jira может быть признаком потенциальной утечки данных. Атакующий, имея доступ к системе, может экспортировать чувствительную информацию о задачах, проектных планах, уязвимостях, логах и других важных данных. Это может привести к утечке конфиденциальной информации, компрометации коммерческой тайны или раскрытию данных о внутренней инфраструктуре компании. Экспорт большого количества задач может также использоваться как подготовительный этап для последующих атак или злоупотребления данными. В случае срабатывания правила необходимо получить подтверждение легитимности активности от лица, ответственного за учетную запись. В случае отсутствия подтверждения легитимности — заблокировать учетную запись сотрудника, провести внутреннее расследование.

Collection (TA0009)
Impact (TA0040)
Data from Information Repositories (T1213)
Confluence (T1213.001)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

Была ли полезна эта страница?

Обратная связь