ClickHouse: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1465	Подбор пароля к СУБД ClickHouse	Правило обнаруживает множественные неудачные попытки подключения к СУБД ClickHouse от одной учетной записи, учитывая попытки с разных хостов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1468	Успешный подбор пароля к СУБД ClickHouse	Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД ClickHouse от одной учетной записи, учитывая попытки с разных узлов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1469	Атака Password Spraying на СУБД ClickHouse	Правило обнаруживает множественные неудачные попытки подключения к СУБД ClickHouse от одного хоста к множеству учетных записей.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1474	Получение информации о системе в ClickHouse	Атакующему может понадобиться получить дополнительные сведения о скомпрометированной системе. Правило обнаруживает попытку просмотра информации о системе, конфигурации и версии базы данных (БД).	Discovery (TA0007) System Information Discovery (T1082) File and Directory Discovery (T1083)
RV-D-1476	Попытка удаления нескольких таблиц в ClickHouse	Атакующий с целью нарушения функционирования системы может попытаться удалить значимые таблицы в базе данных. Правило обнаруживает удаление 5 таблиц в течении минуты в ClickHouse с помощью характерного запроса.	Impact (TA0040) Data Destruction (T1485)
RV-D-1477	Получение информации о структуре Clickhouse	В целях получения информации о пользователях и таблицах базы данных атакующий может провести разведку. Правило обнаруживает попытку просмотра информациии о пользователях, их привилегиях и таблицах в базе данных.	Credential Access (TA0006) Discovery (TA0007) OS Credential Dumping (T1003) Permission Groups Discovery (T1069) Local Groups (T1069.001) System Information Discovery (T1082) Account Discovery (T1087) Local Account (T1087.001) Domain Account (T1087.002)
RV-D-1478	Создание дампа таблиц в ClickHouse	Атакующий может сохранить конфиденциальную информацию из базы данных для дальнейшей ее обработки на удаленном хосте. Правило обнаруживает попытку сохранения таблицы из базы данных ClickHouse в файл.	Credential Access (TA0006) Collection (TA0009) OS Credential Dumping (T1003) Data from Local System (T1005) Data Staged (T1074) Local Data Staging (T1074.001)
RV-D-1485	Изменение или удаление таблицы аудита ClickHouse	Атакующий для сокрытия своих действий может удалить или изменить значения в таблицах аудита system.query_log и system.session_log, в которых логируются выполненные запросы и события авторизации.	Defense Evasion (TA0005) Impact (TA0040) Indicator Removal (T1070) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1486	Использование LIKE для разведки в Clickhouse	Атакующий для сбора информации о таблицах в ClickHouse может использовать запрос, содержащий `where name like`. Правило обнаруживает использование данной строки в SQL запросе к системным таблицам columns или tables.	Collection (TA0009) Data from Local System (T1005)
RV-D-1491	Небезопасный способ аутентификации пользователя ClickHouse	Атакующий для получения доступа к базе данных ClickHouse может использовать учетные данные без использования пароля или с незашифрованным паролем. Правило обнаруживает попытку создания или модификации пользователя с установкой способа аутентификации no_password или plaintext_password.	Persistence (TA0003) Credential Access (TA0006) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001) Unsecured Credentials (T1552)
RV-D-1494	Создание привилегированного пользователя в ClickHouse	В целях закрепления атакующий может создать пользователя и выдать ему привилегии. Правило обнаруживает попытку создания пользователя и выдачу ему максимальных привилегий.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001)
RV-D-1495	Изменение конфигурации базы данных ClickHouse	Атакующий может попытаться изменить конфигурацию базы данных ClickHouse для получения информации об учетных данных, закрепления в системе или иных целей. Правило обнаруживает изменение файла конфигурации keeper_config, configl, user для базы данных ClickHouse.	Persistence (TA0003) Defense Evasion (TA0005) Credential Access (TA0006) Discovery (TA0007) OS Credential Dumping (T1003) Account Discovery (T1087) Modify Authentication Process (T1556) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1500	Вход привилегированного пользователя в ClickHouse	Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1502	Попытка удаления базы данных в ClickHouse	Атакующий с целью нарушения функционирования системы может попытаться удалить базу данных. Правило обнаруживает удаление базы данных в ClickHouse с помощью характерного запроса.	Impact (TA0040) Data Destruction (T1485)
RV-D-1503	Взаимодействие с файловой системой из БД ClickHouse	Атакующий может попытаться прочитать или записать данные в файл или попытаться выполнить скрипт. Правило обнаруживает использование функций file и executable, применяемых для взаимодействия с файловой системой.	Execution (TA0002) Discovery (TA0007) Impact (TA0040) Command and Scripting Interpreter (T1059) Python (T1059.006) File and Directory Discovery (T1083) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)

RV-D-1465

Подбор пароля к СУБД ClickHouse

Правило обнаруживает множественные неудачные попытки подключения к СУБД ClickHouse от одной учетной записи, учитывая попытки с разных хостов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1468

Успешный подбор пароля к СУБД ClickHouse

Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД ClickHouse от одной учетной записи, учитывая попытки с разных узлов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1469

Атака Password Spraying на СУБД ClickHouse

Правило обнаруживает множественные неудачные попытки подключения к СУБД ClickHouse от одного хоста к множеству учетных записей.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1474

Получение информации о системе в ClickHouse

Атакующему может понадобиться получить дополнительные сведения о скомпрометированной системе. Правило обнаруживает попытку просмотра информации о системе, конфигурации и версии базы данных (БД).

Discovery (TA0007)
System Information Discovery (T1082)
File and Directory Discovery (T1083)

RV-D-1476

Попытка удаления нескольких таблиц в ClickHouse

Атакующий с целью нарушения функционирования системы может попытаться удалить значимые таблицы в базе данных. Правило обнаруживает удаление 5 таблиц в течении минуты в ClickHouse с помощью характерного запроса.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1477

Получение информации о структуре Clickhouse

В целях получения информации о пользователях и таблицах базы данных атакующий может провести разведку. Правило обнаруживает попытку просмотра информациии о пользователях, их привилегиях и таблицах в базе данных.

Credential Access (TA0006)
Discovery (TA0007)
OS Credential Dumping (T1003)
Permission Groups Discovery (T1069)
Local Groups (T1069.001)
System Information Discovery (T1082)
Account Discovery (T1087)
Local Account (T1087.001)
Domain Account (T1087.002)

RV-D-1478

Создание дампа таблиц в ClickHouse

Атакующий может сохранить конфиденциальную информацию из базы данных для дальнейшей ее обработки на удаленном хосте. Правило обнаруживает попытку сохранения таблицы из базы данных ClickHouse в файл.

Credential Access (TA0006)
Collection (TA0009)
OS Credential Dumping (T1003)
Data from Local System (T1005)
Data Staged (T1074)
Local Data Staging (T1074.001)

RV-D-1485

Изменение или удаление таблицы аудита ClickHouse

Атакующий для сокрытия своих действий может удалить или изменить значения в таблицах аудита system.query_log и system.session_log, в которых логируются выполненные запросы и события авторизации.

Defense Evasion (TA0005)
Impact (TA0040)
Indicator Removal (T1070)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1486

Использование LIKE для разведки в Clickhouse

Атакующий для сбора информации о таблицах в ClickHouse может использовать запрос, содержащий where name like. Правило обнаруживает использование данной строки в SQL запросе к системным таблицам columns или tables.

Collection (TA0009)
Data from Local System (T1005)

RV-D-1491

Небезопасный способ аутентификации пользователя ClickHouse

Атакующий для получения доступа к базе данных ClickHouse может использовать учетные данные без использования пароля или с незашифрованным паролем. Правило обнаруживает попытку создания или модификации пользователя с установкой способа аутентификации no_password или plaintext_password.

Persistence (TA0003)
Credential Access (TA0006)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)
Unsecured Credentials (T1552)

RV-D-1494

Создание привилегированного пользователя в ClickHouse

В целях закрепления атакующий может создать пользователя и выдать ему привилегии. Правило обнаруживает попытку создания пользователя и выдачу ему максимальных привилегий.

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1495

Изменение конфигурации базы данных ClickHouse

Атакующий может попытаться изменить конфигурацию базы данных ClickHouse для получения информации об учетных данных, закрепления в системе или иных целей. Правило обнаруживает изменение файла конфигурации keeper_config, configl, user для базы данных ClickHouse.

Persistence (TA0003)
Defense Evasion (TA0005)
Credential Access (TA0006)
Discovery (TA0007)
OS Credential Dumping (T1003)
Account Discovery (T1087)
Modify Authentication Process (T1556)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1500

Вход привилегированного пользователя в ClickHouse

Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1502

Попытка удаления базы данных в ClickHouse

Атакующий с целью нарушения функционирования системы может попытаться удалить базу данных. Правило обнаруживает удаление базы данных в ClickHouse с помощью характерного запроса.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1503

Взаимодействие с файловой системой из БД ClickHouse

Атакующий может попытаться прочитать или записать данные в файл или попытаться выполнить скрипт. Правило обнаруживает использование функций file и executable, применяемых для взаимодействия с файловой системой.

Execution (TA0002)
Discovery (TA0007)
Impact (TA0040)
Command and Scripting Interpreter (T1059)
Python (T1059.006)
File and Directory Discovery (T1083)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

Была ли полезна эта страница?