Microsoft DNS Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1413	Несанкционированное изменение конфигурации DNS-сервера	Правило позволяет обнаружить несанкционированные изменения конфигурации Windows DNS Server, которые могут привести к деградации или недоступности сервиса. Отслеживаются действия с зонами DNS (удаление, изменение параметров), DNS-переадресаторами (серверами пересылки запросов), root hints и DNSSEC-ключами/подписями. Фиксируются соответствующие события аудита в журнале Microsoft-Windows-DNSServer/Audit (EventID 513, 514, 537, 540, 525, 569 и др.), что позволяет своевременно выявлять попытки вмешательства в работу службы DNS.	Impact (TA0040) Data Manipulation (T1565) Stored Data Manipulation (T1565.001) Compromise Infrastructure (T1584) DNS Server (T1584.002)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1413

Несанкционированное изменение конфигурации DNS-сервера

Правило позволяет обнаружить несанкционированные изменения конфигурации Windows DNS Server, которые могут привести к деградации или недоступности сервиса. Отслеживаются действия с зонами DNS (удаление, изменение параметров), DNS-переадресаторами (серверами пересылки запросов), root hints и DNSSEC-ключами/подписями. Фиксируются соответствующие события аудита в журнале Microsoft-Windows-DNSServer/Audit (EventID 513, 514, 537, 540, 525, 569 и др.), что позволяет своевременно выявлять попытки вмешательства в работу службы DNS.

Impact (TA0040)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)
Compromise Infrastructure (T1584)
DNS Server (T1584.002)

Была ли полезна эта страница?