MikroTik RouterOS: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1299	Атака Password Spraying в MikroTik	Данное правило направлено на обнаружение атак типа Password Spraying на интерфейсы управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего получить доступ с использованием распространенных паролей для различных учетных записей. В отличие от классического брутфорса, такие атаки характеризуются небольшим количеством попыток входа на каждую учетную запись, но охватывают множество пользователей, что затрудняет их обнаружение стандартными средствами защиты. Успешная реализация этой техники позволяет атакующему получить контроль над маршрутизатором с минимальным риском блокировки учетной записи.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1301	Подбор пароля пользователя MikroTik	Данное правило направлено на выявление атак методом перебора пароля к интерфейсам управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего подобрать учетные данные для несанкционированного доступа. Такие атаки характеризуются множественными неудачными попытками авторизации и являются аномальными для штатных операций администрирования. Эксплуатация этой атаки позволяет получить контроль над маршрутизатором, что открывает возможности для изменения сетевых настроек или перехвата трафика.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1304	Подключение к MikroTik с недоверенного IP	Правило предназначено для обнаружения потенциально несанкционированного доступа к устройствам MikroTik с использованием привилегированной учетной записи. Оно срабатывает при установлении соединения с IP-адреса, не входящего в список доверенных хостов, что может указывать на компрометацию учетных данных или попытку обхода политики безопасности.	Initial Access (TA0001) Valid Accounts (T1078) Default Accounts (T1078.001)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1299

Атака Password Spraying в MikroTik

Данное правило направлено на обнаружение атак типа Password Spraying на интерфейсы управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего получить доступ с использованием распространенных паролей для различных учетных записей. В отличие от классического брутфорса, такие атаки характеризуются небольшим количеством попыток входа на каждую учетную запись, но охватывают множество пользователей, что затрудняет их обнаружение стандартными средствами защиты. Успешная реализация этой техники позволяет атакующему получить контроль над маршрутизатором с минимальным риском блокировки учетной записи.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1301

Подбор пароля пользователя MikroTik

Данное правило направлено на выявление атак методом перебора пароля к интерфейсам управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего подобрать учетные данные для несанкционированного доступа. Такие атаки характеризуются множественными неудачными попытками авторизации и являются аномальными для штатных операций администрирования. Эксплуатация этой атаки позволяет получить контроль над маршрутизатором, что открывает возможности для изменения сетевых настроек или перехвата трафика.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1304

Подключение к MikroTik с недоверенного IP

Правило предназначено для обнаружения потенциально несанкционированного доступа к устройствам MikroTik с использованием привилегированной учетной записи. Оно срабатывает при установлении соединения с IP-адреса, не входящего в список доверенных хостов, что может указывать на компрометацию учетных данных или попытку обхода политики безопасности.

Initial Access (TA0001)
Valid Accounts (T1078)
Default Accounts (T1078.001)

Была ли полезна эта страница?