Kaspersky Secure Mail Gateway: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-961	Шифрованное вложение в письме	Данное правило направлено на обнаружение шифрованного вложения в письме средствами KSMG. Данная атака может быть началом попыток получения доступа к ИС компании.	Initial Access (TA0001) Obfuscated Files or Information (T1027) Internal Spearphishing (T1534) Phishing (T1566) Spearphishing Attachment (T1566.001) Phishing for Information (T1598) Spearphishing Attachment (T1598.002)
RV-D-962	Проверка подлинности отправителя сообщений	Данное правило направлено на детектирование инцидентов, связанных с проверкой подлинности отправителей сообщений в письме, с использованием средств KSMG. Проверка подлинности отправителей сообщений предназначена для дополнительной защиты почтовой инфраструктуры от атаки, при которой атакующий может заменить почту на доверенную.	Initial Access (TA0001) Internal Spearphishing (T1534) Phishing (T1566) Phishing for Information (T1598)
RV-D-963	Вредоносное вложение в письме	Данное правило направлено на обнаружение вредоносного вложения в письме средствами KSMG. Вредоносное вложение может содержаться как в теле письма, так и в файле во вложении. Данная атака может быть началом попыток получения доступа к ИС компании.	Initial Access (TA0001) Internal Spearphishing (T1534) Phishing (T1566) Spearphishing Attachment (T1566.001) Spearphishing Link (T1566.002) Phishing for Information (T1598) Spearphishing Attachment (T1598.002)
RV-D-964	Получение массовой рассылки писем	Данное правило направлено на детектирование инцидентов, связанных с массовой рассылкой писем, с использованием средств KSMG. Массовые рассылки могут быть использованы атакующими для распространения спама, фишинга или вредоносного ПО, а также для организации атак на почтовую инфраструктуру организации. Правило позволяет выявлять подозрительную активность, связанную с отправкой большого количества писем за короткий промежуток времени, что может указывать на попытку злоупотребления почтовой системой.	Initial Access (TA0001) Phishing (T1566) Phishing for Information (T1598) Email Bombing (T1667)
RV-D-965	Получение спам-письма	Данное правило направлено на обнаружение инцидентов, связанных с получением спам-писем, с использованием средств KSMG. Спам-письма могут содержать нежелательную рекламу, фишинговые ссылки или вредоносные вложения, что представляет угрозу для безопасности почтовой инфраструктуры и пользователей организации.	Initial Access (TA0001) Phishing (T1566) Phishing for Information (T1598)
RV-D-966	Вредоносная ссылка в письме	Данное правило направлено на детектирование инцидентов, связанных с получением вредоносных ссылок в письме, на основе событий KSMG. Ссылки могут содержать вредоносные вложения, что представляет угрозу для безопасности почтовой инфраструктуры и пользователей организации.	Initial Access (TA0001) Drive-by Compromise (T1189) User Execution (T1204) Malicious Link (T1204.001) Phishing (T1566) Spearphishing Link (T1566.002) Phishing for Information (T1598) Spearphishing Link (T1598.003)

ID правила

Название правила

Описание

Тактики и техники

RV-D-961

Шифрованное вложение в письме

Данное правило направлено на обнаружение шифрованного вложения в письме средствами KSMG. Данная атака может быть началом попыток получения доступа к ИС компании.

Initial Access (TA0001)
Obfuscated Files or Information (T1027)
Internal Spearphishing (T1534)
Phishing (T1566)
Spearphishing Attachment (T1566.001)
Phishing for Information (T1598)
Spearphishing Attachment (T1598.002)

RV-D-962

Проверка подлинности отправителя сообщений

Данное правило направлено на детектирование инцидентов, связанных с проверкой подлинности отправителей сообщений в письме, с использованием средств KSMG. Проверка подлинности отправителей сообщений предназначена для дополнительной защиты почтовой инфраструктуры от атаки, при которой атакующий может заменить почту на доверенную.

Initial Access (TA0001)
Internal Spearphishing (T1534)
Phishing (T1566)
Phishing for Information (T1598)

RV-D-963

Вредоносное вложение в письме

Данное правило направлено на обнаружение вредоносного вложения в письме средствами KSMG. Вредоносное вложение может содержаться как в теле письма, так и в файле во вложении. Данная атака может быть началом попыток получения доступа к ИС компании.

Initial Access (TA0001)
Internal Spearphishing (T1534)
Phishing (T1566)
Spearphishing Attachment (T1566.001)
Spearphishing Link (T1566.002)
Phishing for Information (T1598)
Spearphishing Attachment (T1598.002)

RV-D-964

Получение массовой рассылки писем

Данное правило направлено на детектирование инцидентов, связанных с массовой рассылкой писем, с использованием средств KSMG. Массовые рассылки могут быть использованы атакующими для распространения спама, фишинга или вредоносного ПО, а также для организации атак на почтовую инфраструктуру организации. Правило позволяет выявлять подозрительную активность, связанную с отправкой большого количества писем за короткий промежуток времени, что может указывать на попытку злоупотребления почтовой системой.

Initial Access (TA0001)
Phishing (T1566)
Phishing for Information (T1598)
Email Bombing (T1667)

RV-D-965

Получение спам-письма

Данное правило направлено на обнаружение инцидентов, связанных с получением спам-писем, с использованием средств KSMG. Спам-письма могут содержать нежелательную рекламу, фишинговые ссылки или вредоносные вложения, что представляет угрозу для безопасности почтовой инфраструктуры и пользователей организации.

Initial Access (TA0001)
Phishing (T1566)
Phishing for Information (T1598)

RV-D-966

Вредоносная ссылка в письме

Данное правило направлено на детектирование инцидентов, связанных с получением вредоносных ссылок в письме, на основе событий KSMG. Ссылки могут содержать вредоносные вложения, что представляет угрозу для безопасности почтовой инфраструктуры и пользователей организации.

Initial Access (TA0001)
Drive-by Compromise (T1189)
User Execution (T1204)
Malicious Link (T1204.001)
Phishing (T1566)
Spearphishing Link (T1566.002)
Phishing for Information (T1598)
Spearphishing Link (T1598.003)

Была ли полезна эта страница?