PostgreSQL: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1418	Атака типа Password Spraying к СУБД PostgreSQL	Правило обнаруживает множественные неудачные попытки подключения к PostgreSQL от одного хоста к множеству учетных записей.	Credential Access (TA0006) Brute Force (T1110) Password Cracking (T1110.002)
RV-D-1421	Изменение файла конфигурации базы данных PostgreSQL	Правило обнаруживает изменение файлов конфигурации `postgresql.conf` и `postgresql.auto.conf` для базы данных PostgreSQL.	Impact (TA0040) Data Manipulation (T1565)
RV-D-1427	Попытка удаления базы данных в PostgreSQL	Правило обнаруживает удаление базы данных в PostgreSQL с помощью характерного запроса.	Impact (TA0040) Data Destruction (T1485)
RV-D-1428	Получение информации о существующих учетных записях в PostgreSQL	Правило обнаруживает получение информации о существующих учетных записях и их атрибутах в PostgreSQL.	Discovery (TA0007) Account Discovery (T1087)
RV-D-1429	Взаимодействие с файловой системой из базы данных PostgreSQL	Правило обнаруживает взаимодействие с файловой системой из базы данных PostgreSQL с помощью характерных запросов, может говорить о попытке разведки на узле, например, для дальнейшего повышения привилегий.	Discovery (TA0007) File and Directory Discovery (T1083)
RV-D-1430	Новая учетная запись с правами superuser в PostgreSQL	Правило обнаруживает создание учетной записи с правами superuser или выдачу прав уже существующей учетной записи в PostgreSQL.	Persistence (TA0003) Create Account (T1136)
RV-D-1433	Изменение параметров аудита базы данных PostgreSQL	Правило обнаруживает изменение параметров аудита базы данных и конфигурации PostgreSQL.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1436	Вход привилегированного пользователя с неизвестного хоста	Правило детектирует вход на СУБД Postgres привилегированного пользователя с неизвестного хоста.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1437	Разведка структуры базы данных PostgreSQL	Данное правило обнаруживает SQL-запросы, потенциально указывающие на попытки разведки структуры базы данных PostgreSQL — ключевого этапа подготовительной фазы атаки, направленного на сбор сведений о внутреннем устройстве системы. Правило отслеживает SQL-запросы, обращающиеся к системным каталогам и служебным схемам, таким как pg_catalog и information_schema, для получения сведений о таблицах, ролях и базах данных.	Discovery (TA0007) System Information Discovery (T1082)
RV-D-1438	Успешный перебор пароля к СУБД PostgreSQL	Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к PostgreSQL от одной учетной записи, учитывая попытки с разных узлов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1440	Множественные неудачные попытки подключения к PostgreSQL	Правило обнаруживает множественные неудачные попытки подключения к PostgreSQL от одной учетной записи, учитывая попытки с разных хостов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1496	Изменен пароль от учетной записи с правами superuser в PostgreSQL	Правило обнаруживает изменение пароля от учетной записи с правами superuser в PostgreSQL.	Persistence (TA0003) Account Manipulation (T1098)

RV-D-1418

Атака типа Password Spraying к СУБД PostgreSQL

Правило обнаруживает множественные неудачные попытки подключения к PostgreSQL от одного хоста к множеству учетных записей.

Credential Access (TA0006)
Brute Force (T1110)
Password Cracking (T1110.002)

RV-D-1421

Изменение файла конфигурации базы данных PostgreSQL

Правило обнаруживает изменение файлов конфигурации postgresql.conf и postgresql.auto.conf для базы данных PostgreSQL.

Impact (TA0040)
Data Manipulation (T1565)

RV-D-1427

Попытка удаления базы данных в PostgreSQL

Правило обнаруживает удаление базы данных в PostgreSQL с помощью характерного запроса.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1428

Получение информации о существующих учетных записях в PostgreSQL

Правило обнаруживает получение информации о существующих учетных записях и их атрибутах в PostgreSQL.

Discovery (TA0007)
Account Discovery (T1087)

RV-D-1429

Взаимодействие с файловой системой из базы данных PostgreSQL

Правило обнаруживает взаимодействие с файловой системой из базы данных PostgreSQL с помощью характерных запросов, может говорить о попытке разведки на узле, например, для дальнейшего повышения привилегий.

Discovery (TA0007)
File and Directory Discovery (T1083)

RV-D-1430

Новая учетная запись с правами superuser в PostgreSQL

Правило обнаруживает создание учетной записи с правами superuser или выдачу прав уже существующей учетной записи в PostgreSQL.

Persistence (TA0003)
Create Account (T1136)

RV-D-1433

Изменение параметров аудита базы данных PostgreSQL

Правило обнаруживает изменение параметров аудита базы данных и конфигурации PostgreSQL.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1436

Вход привилегированного пользователя с неизвестного хоста

Правило детектирует вход на СУБД Postgres привилегированного пользователя с неизвестного хоста.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1437

Разведка структуры базы данных PostgreSQL

Данное правило обнаруживает SQL-запросы, потенциально указывающие на попытки разведки структуры базы данных PostgreSQL — ключевого этапа подготовительной фазы атаки, направленного на сбор сведений о внутреннем устройстве системы. Правило отслеживает SQL-запросы, обращающиеся к системным каталогам и служебным схемам, таким как pg_catalog и information_schema, для получения сведений о таблицах, ролях и базах данных.

Discovery (TA0007)
System Information Discovery (T1082)

RV-D-1438

Успешный перебор пароля к СУБД PostgreSQL

Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к PostgreSQL от одной учетной записи, учитывая попытки с разных узлов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1440

Множественные неудачные попытки подключения к PostgreSQL

Правило обнаруживает множественные неудачные попытки подключения к PostgreSQL от одной учетной записи, учитывая попытки с разных хостов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1496

Изменен пароль от учетной записи с правами superuser в PostgreSQL

Правило обнаруживает изменение пароля от учетной записи с правами superuser в PostgreSQL.

Persistence (TA0003)
Account Manipulation (T1098)

Была ли полезна эта страница?