Пассворк: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1021	Массовое удаление учетных записей	Данное правило обнаруживает подозрительную активность по массовому удалению учетных записей в системе, когда в течение пяти минут происходит удаление пяти и более учетных записей. Подобные действия могут указывать на активность атакующего, пытающегося нанести ущерб работоспособности системы. При срабатывании правила необходимо опросить ответственного, от учетной записи которого были выполнены действия, для проверки их легитимности. В случае подтверждения инцидента требуется заблокировать учетную запись, восстановить удаленные учетные записи из резервной копии и инициировать расследование.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1027	Вход под УЗ администратора	Данное правило детектирует успешную аутентификацию под учетной записью администратора с IP-адреса, который не входит в список разрешенных для данных учетных записей. Данное событие указывает на потенциальную компрометацию УЗ администратора.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1028	Множественный просмотр паролей за короткий промежуток времени	Данное правило обнаруживает подозрительную активность административной учетной записи в парольном менеджере, когда в течение трех минут происходит просмотр десяти и более паролей. Такие действия могут указывать на несанкционированный сбор учетных данных атакующим, получившим доступ к привилегированной учетной записи, с целью их последующего использования для горизонтального перемещения или повышения привилегий в сети. При срабатывании правила необходимо выяснить легитимность действий у владельца учетной записи и при необходимости заблокировать ее. В случае подтверждения инцидента требуется инициировать процесс расследования.	Credential Access (TA0006) Credentials from Password Stores (T1555)
RV-D-1034	Брутфорс Passwork	Данное правило обнаруживает множественные неудачные попытки входа в систему парольного менеджера Passwork, включая ошибки аутентификации и неверные коды двухфакторной аутентификации (2FA). Подобная активность указывает на вероятную попытку подбора учетных данных (логина и пароля) или кода верификации для получения несанкционированного доступа к хранилищу паролей. При срабатывании правила рекомендуется идентифицировать учетную запись, на которую направлена атака, и уведомить ее владельца, а также связаться с лицом, ответственным за парольный менеджер, и предупредить о данной активности. Проанализировать источник атаки. В случае подтверждения инцидента необходимо заблокировать IP-адрес источника атаки и сменить пароль целевой учетной записи, инициировать процесс расследования.	Credential Access (TA0006) Brute Force (T1110)
RV-D-1038	Массовое удаление сейфов, папок, паролей	Данное правило обнаруживает подозрительную активность по удалению множества паролей, папок и сейфов за короткий промежуток времени. Подобные действия могут указывать на попытку атакующего удалить данные, чтобы саботировать работу компании. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.	Impact (TA0040) Data Destruction (T1485)
RV-D-1039	Включение заблокированной УЗ	Данное правило обнаруживает подозрительную активность по разблокировке учетных записей. Подобные действия могут указывать на попытку атакующего активировать УЗ, которая является недействительной, и действовать он ее имени. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1040	Изменение прав роли	Данное правило обнаруживает подозрительные изменения привилегий, назначенных роли в системе. Подобные действия могут указывать на попытку атакующего повысить уровень доступа своей или другой роли для обхода механизмов безопасности и получения несанкционированных прав в системе. При срабатывании правила необходимо немедленно идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1044	Добавление пользователя в критичный сейф	Данное правило обнаруживает подозрительную активность по добавлению пользователей в критичный сейф паролей. Подобные действия могут указывать на попытку атакующего предоставить права на чтение критичных паролей для учетной записи, которая используется в атаке. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1045	Успешный брутфорс Passwork	Данное правило обнаруживает успешный вход в систему парольного менеджера Passwork после множества неудачных попыток аутентификации, что указывает на высокую вероятность компрометации учетных данных в результате атаки подбора. В случае срабатывания правила необходимо опросить владельца учетной записи для проверки легитимности данной активности. Если активность не является легитимной, требуется заблокировать скомпрометированную учетную запись, инициировать смену ее пароля, а также заблокировать IP-адрес источника атаки. Инициировать процесс расследования.	Credential Access (TA0006) Brute Force (T1110)
RV-D-1046	Назначение роли администратора	Данное правило детектирует подозрительную активность по предоставлению прав администратора. Подобные действия могут указывать на попытку атакующего повысить уровень доступа своей или другой учетной записи для обхода механизмов безопасности и получения несанкционированных прав в системе. При срабатывании правила необходимо немедленно идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1047	Экспорт паролей/сейфа Passwork	Данное правило детектирует события, связанные с экспортом данных (паролей, сейфов) из парольного менеджера Passwork. Подобные действия могут указывать на попытку несанкционированного копирования учетных данных атакующим. При срабатывании правила необходимо немедленно идентифицировать и опросить владельца учетной записи, от имени которой было выполнено действие, для проверки его легитимности. В случае подтверждения инцидента требуется заблокировать учетную запись, изменить все пароли, которые могли быть скомпрометированы, и провести расследование.	Credential Access (TA0006) Credentials from Password Stores (T1555) Password Managers (T1555.005)
RV-D-1059	Отключение 2FA	Данное правило обнаруживает подозрительную активность по отключению 2FA. Подобные действия могут указывать на попытку атакующего отключить систему защиты 2FA для получения доступа к учетной записи.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1060	Создание пользователя	Данное правило обнаруживает подозрительную активность, связанную с созданием новых пользователей. Подобные действия могут указывать на попытку атакующего создать себе учетные записи для работы под ними, чтобы не вызывать подозрений или иметь возможность дольше оставаться в системе.	Persistence (TA0003) Create Account (T1136)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1021

Массовое удаление учетных записей

Данное правило обнаруживает подозрительную активность по массовому удалению учетных записей в системе, когда в течение пяти минут происходит удаление пяти и более учетных записей. Подобные действия могут указывать на активность атакующего, пытающегося нанести ущерб работоспособности системы. При срабатывании правила необходимо опросить ответственного, от учетной записи которого были выполнены действия, для проверки их легитимности. В случае подтверждения инцидента требуется заблокировать учетную запись, восстановить удаленные учетные записи из резервной копии и инициировать расследование.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1027

Вход под УЗ администратора

Данное правило детектирует успешную аутентификацию под учетной записью администратора с IP-адреса, который не входит в список разрешенных для данных учетных записей. Данное событие указывает на потенциальную компрометацию УЗ администратора.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1028

Множественный просмотр паролей за короткий промежуток времени

Данное правило обнаруживает подозрительную активность административной учетной записи в парольном менеджере, когда в течение трех минут происходит просмотр десяти и более паролей. Такие действия могут указывать на несанкционированный сбор учетных данных атакующим, получившим доступ к привилегированной учетной записи, с целью их последующего использования для горизонтального перемещения или повышения привилегий в сети. При срабатывании правила необходимо выяснить легитимность действий у владельца учетной записи и при необходимости заблокировать ее. В случае подтверждения инцидента требуется инициировать процесс расследования.

Credential Access (TA0006)
Credentials from Password Stores (T1555)

RV-D-1034

Брутфорс Passwork

Данное правило обнаруживает множественные неудачные попытки входа в систему парольного менеджера Passwork, включая ошибки аутентификации и неверные коды двухфакторной аутентификации (2FA). Подобная активность указывает на вероятную попытку подбора учетных данных (логина и пароля) или кода верификации для получения несанкционированного доступа к хранилищу паролей. При срабатывании правила рекомендуется идентифицировать учетную запись, на которую направлена атака, и уведомить ее владельца, а также связаться с лицом, ответственным за парольный менеджер, и предупредить о данной активности. Проанализировать источник атаки. В случае подтверждения инцидента необходимо заблокировать IP-адрес источника атаки и сменить пароль целевой учетной записи, инициировать процесс расследования.

Credential Access (TA0006)
Brute Force (T1110)

RV-D-1038

Массовое удаление сейфов, папок, паролей

Данное правило обнаруживает подозрительную активность по удалению множества паролей, папок и сейфов за короткий промежуток времени. Подобные действия могут указывать на попытку атакующего удалить данные, чтобы саботировать работу компании. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1039

Включение заблокированной УЗ

Данное правило обнаруживает подозрительную активность по разблокировке учетных записей. Подобные действия могут указывать на попытку атакующего активировать УЗ, которая является недействительной, и действовать он ее имени. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1040

Изменение прав роли

Данное правило обнаруживает подозрительные изменения привилегий, назначенных роли в системе. Подобные действия могут указывать на попытку атакующего повысить уровень доступа своей или другой роли для обхода механизмов безопасности и получения несанкционированных прав в системе. При срабатывании правила необходимо немедленно идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1044

Добавление пользователя в критичный сейф

Данное правило обнаруживает подозрительную активность по добавлению пользователей в критичный сейф паролей. Подобные действия могут указывать на попытку атакующего предоставить права на чтение критичных паролей для учетной записи, которая используется в атаке. При срабатывании правила необходимо идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1045

Успешный брутфорс Passwork

Данное правило обнаруживает успешный вход в систему парольного менеджера Passwork после множества неудачных попыток аутентификации, что указывает на высокую вероятность компрометации учетных данных в результате атаки подбора. В случае срабатывания правила необходимо опросить владельца учетной записи для проверки легитимности данной активности. Если активность не является легитимной, требуется заблокировать скомпрометированную учетную запись, инициировать смену ее пароля, а также заблокировать IP-адрес источника атаки. Инициировать процесс расследования.

Credential Access (TA0006)
Brute Force (T1110)

RV-D-1046

Назначение роли администратора

Данное правило детектирует подозрительную активность по предоставлению прав администратора. Подобные действия могут указывать на попытку атакующего повысить уровень доступа своей или другой учетной записи для обхода механизмов безопасности и получения несанкционированных прав в системе. При срабатывании правила необходимо немедленно идентифицировать и опросить ответственного за учетную запись, выполнившего изменение, для проверки легитимности действий. В случае подтверждения инцидента необходимо инициировать процесс расследования.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1047

Экспорт паролей/сейфа Passwork

Данное правило детектирует события, связанные с экспортом данных (паролей, сейфов) из парольного менеджера Passwork. Подобные действия могут указывать на попытку несанкционированного копирования учетных данных атакующим. При срабатывании правила необходимо немедленно идентифицировать и опросить владельца учетной записи, от имени которой было выполнено действие, для проверки его легитимности. В случае подтверждения инцидента требуется заблокировать учетную запись, изменить все пароли, которые могли быть скомпрометированы, и провести расследование.

Credential Access (TA0006)
Credentials from Password Stores (T1555)
Password Managers (T1555.005)

RV-D-1059

Отключение 2FA

Данное правило обнаруживает подозрительную активность по отключению 2FA. Подобные действия могут указывать на попытку атакующего отключить систему защиты 2FA для получения доступа к учетной записи.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1060

Создание пользователя

Данное правило обнаруживает подозрительную активность, связанную с созданием новых пользователей. Подобные действия могут указывать на попытку атакующего создать себе учетные записи для работы под ними, чтобы не вызывать подозрений или иметь возможность дольше оставаться в системе.

Persistence (TA0003)
Create Account (T1136)

Была ли полезна эта страница?

Обратная связь