Код Безопасности Secret Net Studio: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-847d6ab7be99	Нарушение целостности объекта системы	Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов (файлов, каталогов, элементов системного реестра). Правило регистрирует корреляционное событие при внесении изменений в контролируемый объект или его удалении.	Impact (TA0040) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1415	Подключено съемное устройство к компьютеру	Одной из функций механизма контроля подключения и изменения устройств в Secret Net Studio является поддержание в актуальном состоянии списка устройств компьютера. Правило обнаруживает подключение нового устройства и регистрирует корреляционное событие.	Collection (TA0009) Data from Removable Media (T1025)
RV-D-1416	Изменение политики безопасности Secret Net Studio	Изменение действующей политики осуществляется администратором локально или централизованно через центр управления. Правило обнаруживает изменения в действующей политике безопасности Secret Net Studio и регистрирует корреляционное событие.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1417	Очищен журнал событий Secret Net Studio	Атакующий, с целью сокрытия следов присутствия в инфраструктуре и затруднения последующего расследования, может очистить журналы событий. Правило обнаруживает факт очистки журнала пользователем.	Defense Evasion (TA0005) Indicator Removal (T1070) Clear Persistence (T1070.009)
RV-D-1422	Отключение механизма самозащиты в Secret Net Studio	Отключение механизма самозащиты может позволить атакующему произвести несанкционированную остановку или модификацию критических служб, процессов и механизмов защиты.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1423	Отключение защитного механизма в Secret Net Studio	Механизмы защиты осуществляют различные функции по защите от несанкционированного доступа к ресурсам хоста, на котором установлен Secret Net Studio. При их отключении может значительно снизиться уровень защищенности узла. Правило обнаруживает факт отключения защитного механизма.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1424	Изменение правил межсетевого экрана в Secret Net Studio	Изменение или удаление правил межсетевого экранирования может расширить поверхность атаки для атакующего, а также ограничить легитимный доступ для администраторов к консоли управления. Правило обнаруживает добавление, удаление или изменение правил межсетевого экрана.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify System Firewall (T1562.004)
RV-D-1426	Многократная смена пароля учетной записи	Многократная смена пароля учетной записи в течение короткого промежутка времени является признаком аномального поведения пользователя. Правило обнаруживает аномальное поведение на основе событий изменения пароля и создает корреляционное событие после нескольких таких попыток.	Persistence (TA0003) Impact (TA0040) Account Manipulation (T1098) Account Access Removal (T1531)
RV-D-1431	Массовая блокировка узлов Secret Net Studio	Блокировка узлов Secret Net Studio может осуществляться вручную администратором или на основании нарушений, выявленных механизмом контроля целостности. Правило обнаруживает множественную блокировку узлов в сети и регистрирует корреляционное событие.	Impact (TA0040) Endpoint Denial of Service (T1499)
RV-D-1432	Массовая разблокировка узлов Secret Net Studio	Разблокировка узлов Secret Net Studio может осуществляться администратором локально или через центр управления. После разблокирования узла снимаются ограничения на вход. Правило обнаруживает множественное разблокирование узлов в сети и регистрирует корреляционное событие.	Defense Evasion (TA0005) Exploitation for Defense Evasion (T1211)
RV-D-1434	Вход пользователя из черного списка	Правило обнаруживает вход в систему пользователя из черного списка (активного списка secretnet_significant_users), содержащего учетные записи, под которыми запрещен вход на устройство с установленным средством защиты информации Secret Net Studio.	Initial Access (TA0001) Defense Evasion (TA0005) Valid Accounts (T1078)
RV-D-1435	Изменение критически важной учетной записи	При изменении параметров пользователя можно расширить или ограничить доступ к конфиденциальным ресурсам. Правило обнаруживает изменение параметров критически важных пользователей, включенных в активный список `privileged_users_and_hosts`.	Impact (TA0040) Account Manipulation (T1098) Account Access Removal (T1531)

RV-D-847d6ab7be99

Нарушение целостности объекта системы

Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов (файлов, каталогов, элементов системного реестра). Правило регистрирует корреляционное событие при внесении изменений в контролируемый объект или его удалении.

Impact (TA0040)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1415

Подключено съемное устройство к компьютеру

Одной из функций механизма контроля подключения и изменения устройств в Secret Net Studio является поддержание в актуальном состоянии списка устройств компьютера. Правило обнаруживает подключение нового устройства и регистрирует корреляционное событие.

Collection (TA0009)
Data from Removable Media (T1025)

RV-D-1416

Изменение политики безопасности Secret Net Studio

Изменение действующей политики осуществляется администратором локально или централизованно через центр управления. Правило обнаруживает изменения в действующей политике безопасности Secret Net Studio и регистрирует корреляционное событие.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1417

Очищен журнал событий Secret Net Studio

Атакующий, с целью сокрытия следов присутствия в инфраструктуре и затруднения последующего расследования, может очистить журналы событий. Правило обнаруживает факт очистки журнала пользователем.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Clear Persistence (T1070.009)

RV-D-1422

Отключение механизма самозащиты в Secret Net Studio

Отключение механизма самозащиты может позволить атакующему произвести несанкционированную остановку или модификацию критических служб, процессов и механизмов защиты.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1423

Отключение защитного механизма в Secret Net Studio

Механизмы защиты осуществляют различные функции по защите от несанкционированного доступа к ресурсам хоста, на котором установлен Secret Net Studio. При их отключении может значительно снизиться уровень защищенности узла. Правило обнаруживает факт отключения защитного механизма.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1424

Изменение правил межсетевого экрана в Secret Net Studio

Изменение или удаление правил межсетевого экранирования может расширить поверхность атаки для атакующего, а также ограничить легитимный доступ для администраторов к консоли управления. Правило обнаруживает добавление, удаление или изменение правил межсетевого экрана.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify System Firewall (T1562.004)

RV-D-1426

Многократная смена пароля учетной записи

Многократная смена пароля учетной записи в течение короткого промежутка времени является признаком аномального поведения пользователя. Правило обнаруживает аномальное поведение на основе событий изменения пароля и создает корреляционное событие после нескольких таких попыток.

Persistence (TA0003)
Impact (TA0040)
Account Manipulation (T1098)
Account Access Removal (T1531)

RV-D-1431

Массовая блокировка узлов Secret Net Studio

Блокировка узлов Secret Net Studio может осуществляться вручную администратором или на основании нарушений, выявленных механизмом контроля целостности. Правило обнаруживает множественную блокировку узлов в сети и регистрирует корреляционное событие.

Impact (TA0040)
Endpoint Denial of Service (T1499)

RV-D-1432

Массовая разблокировка узлов Secret Net Studio

Разблокировка узлов Secret Net Studio может осуществляться администратором локально или через центр управления. После разблокирования узла снимаются ограничения на вход. Правило обнаруживает множественное разблокирование узлов в сети и регистрирует корреляционное событие.

Defense Evasion (TA0005)
Exploitation for Defense Evasion (T1211)

RV-D-1434

Вход пользователя из черного списка

Правило обнаруживает вход в систему пользователя из черного списка (активного списка secretnet_significant_users), содержащего учетные записи, под которыми запрещен вход на устройство с установленным средством защиты информации Secret Net Studio.

Initial Access (TA0001)
Defense Evasion (TA0005)
Valid Accounts (T1078)

RV-D-1435

Изменение критически важной учетной записи

При изменении параметров пользователя можно расширить или ограничить доступ к конфиденциальным ресурсам. Правило обнаруживает изменение параметров критически важных пользователей, включенных в активный список privileged_users_and_hosts.

Impact (TA0040)
Account Manipulation (T1098)
Account Access Removal (T1531)

Была ли полезна эта страница?