PT Network Attack Discovery: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1381	Признаки использования утилиты для туннелирования трафика	Система PT NAD позволяет обнаруживать использование различных средств для туннелирования трафика. Туннелирование трафика может быть использовано для обхода межсетевых экранов, IDS/IPS и других механизмов безопасности. Атакующий может использовать это для эксфильтрации данных, скрытного управления вредоносными программами или для скрытой коммуникации с командно-контрольными серверами (C2).	Command and Control (TA0011) Protocol Tunneling (T1572)
RV-D-1383	Обнаружены признаки использования вредоносной утилиты	Система PT NAD позволяет обнаруживать признаки использования вредоносных утилит. Атака с использованием вредоносной утилиты предполагает, что атакующий применяет специальные программы для получения несанкционированного доступа, сбора данных или повреждения системы. Обнаруженные утилиты могут включать Metasploit, Cobalt Strike, Powershell Empire и другие.	Command and Control (TA0011) Fallback Channels (T1008) Remote Services (T1021) Remote Desktop Protocol (T1021.001) Scheduled Transfer (T1029) Application Layer Protocol (T1071) Web Protocols (T1071.001) File Transfer Protocols (T1071.002) Proxy (T1090) Internal Proxy (T1090.001) Multi-hop Proxy (T1090.003) Web Service (T1102) One-Way Communication (T1102.003) Multi-Stage Channels (T1104) Data Encoding (T1132) System Shutdown/Reboot (T1529) Use Alternate Authentication Material (T1550) Encrypted Channel (T1573) Asymmetric Cryptography (T1573.002) Hide Infrastructure (T1665)
RV-D-1384	Обнаружен индикатор компрометации - IOC	Система PT NAD позволяет обнаруживать в сетевом трафике индикаторы компрометации. В случае срабатывания правила рекомендуется проверить актуальность данного IOC, хост инициатора активности, по возможности опросить ответственного за узел, если активность не является легитимной, то провести внутреннее расследование.	Command and Control (TA0011) Application Layer Protocol (T1071)
RV-D-1389	Атака DCSync PT NAD	Система PT NAD позволяет обнаруживать попытки атаки DCSync. Атака позволяет атакующему выдавать себя за контроллер домена (DC, domain controller) с целью получения учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации. В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC).	Credential Access (TA0006) OS Credential Dumping (T1003) DCSync (T1003.006)
RV-D-1390	Атака DCShadow PT NAD	Система PT NAD позволяет обнаруживать попытки атаки DCShadow. При помощи DCShadow атакующий может скрытно изменить данные в Active Directory (AD), маскируясь под легитимный контроллер домена (DC). Атакующий создает фиктивный контроллер домена, регистрируя его в AD, и использует его для внесения изменений, таких как добавление учетных записей или изменение прав доступа. Эти изменения выглядят как легитимные, что затрудняет их обнаружение с помощью стандартных механизмов мониторинга и журналирования.	Defense Evasion (TA0005) Rogue Domain Controller (T1207)
RV-D-1391	Попытки получения информации об учетных записях	Система PT NAD позволяет обнаруживать запросы для получения информации об учетных записях. Данная активность может выполняться администраторами, разрешенными инструментами или атакующими, осуществляющими несанкционированный сбор информации.	Discovery (TA0007) Account Discovery (T1087) Domain Account (T1087.002)
RV-D-1396	Обнаружена попытка эксплуатации уязвимости	Система PT NAD позволяет обнаруживать попытки эксплуатации уязвимостей.	Initial Access (TA0001) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203)
RV-D-1397	Запрос на репликацию от недоверенного DNS-сервера	Система PT NAD позволяет обнаружить атаку с недоверенной репликацией DNS-зоны. Репликация DNS-зоны через запрос AXFR — это процесс, при котором все содержимое DNS-зоны передается от одного DNS-сервера другому, обычно для синхронизации данных между основным и резервными серверами. Запрос AXFR (Asynchronous Full Transfer Zone) предназначен для легальной передачи полной копии зоны, однако его использование может быть опасным, если такой запрос разрешен от недоверенных источников.	Reconnaissance (TA0043) Application Layer Protocol (T1071) DNS (T1071.004) Gather Victim Network Information (T1590) DNS (T1590.002)
RV-D-1398	Подозрительная сетевая активность с одного узла	Система PT NAD обнаруживает атаки на основе сигнатурного анализа. Данное правило выявляет множественные срабатывания сигнатур за короткий промежуток времени с одного источника, направленные на различные узлы сети.	Execution (TA0002) Exploitation for Client Execution (T1203)
RV-D-1399	Подозрительная сетевая активность с нескольких узлов	Система PT NAD обнаруживает атаки на основе сигнатур. Данное правило выявляет множественные срабатывания сигнатур за короткий промежуток времени с разных узлов, направленные на один хост.	Execution (TA0002) Exploitation for Client Execution (T1203)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1381

Признаки использования утилиты для туннелирования трафика

Система PT NAD позволяет обнаруживать использование различных средств для туннелирования трафика. Туннелирование трафика может быть использовано для обхода межсетевых экранов, IDS/IPS и других механизмов безопасности. Атакующий может использовать это для эксфильтрации данных, скрытного управления вредоносными программами или для скрытой коммуникации с командно-контрольными серверами (C2).

Command and Control (TA0011)
Protocol Tunneling (T1572)

RV-D-1383

Обнаружены признаки использования вредоносной утилиты

Система PT NAD позволяет обнаруживать признаки использования вредоносных утилит. Атака с использованием вредоносной утилиты предполагает, что атакующий применяет специальные программы для получения несанкционированного доступа, сбора данных или повреждения системы. Обнаруженные утилиты могут включать Metasploit, Cobalt Strike, Powershell Empire и другие.

Command and Control (TA0011)
Fallback Channels (T1008)
Remote Services (T1021)
Remote Desktop Protocol (T1021.001)
Scheduled Transfer (T1029)
Application Layer Protocol (T1071)
Web Protocols (T1071.001)
File Transfer Protocols (T1071.002)
Proxy (T1090)
Internal Proxy (T1090.001)
Multi-hop Proxy (T1090.003)
Web Service (T1102)
One-Way Communication (T1102.003)
Multi-Stage Channels (T1104)
Data Encoding (T1132)
System Shutdown/Reboot (T1529)
Use Alternate Authentication Material (T1550)
Encrypted Channel (T1573)
Asymmetric Cryptography (T1573.002)
Hide Infrastructure (T1665)

RV-D-1384

Обнаружен индикатор компрометации - IOC

Система PT NAD позволяет обнаруживать в сетевом трафике индикаторы компрометации. В случае срабатывания правила рекомендуется проверить актуальность данного IOC, хост инициатора активности, по возможности опросить ответственного за узел, если активность не является легитимной, то провести внутреннее расследование.

Command and Control (TA0011)
Application Layer Protocol (T1071)

RV-D-1389

Атака DCSync PT NAD

Система PT NAD позволяет обнаруживать попытки атаки DCSync. Атака позволяет атакующему выдавать себя за контроллер домена (DC, domain controller) с целью получения учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации. В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC).

Credential Access (TA0006)
OS Credential Dumping (T1003)
DCSync (T1003.006)

RV-D-1390

Атака DCShadow PT NAD

Система PT NAD позволяет обнаруживать попытки атаки DCShadow. При помощи DCShadow атакующий может скрытно изменить данные в Active Directory (AD), маскируясь под легитимный контроллер домена (DC). Атакующий создает фиктивный контроллер домена, регистрируя его в AD, и использует его для внесения изменений, таких как добавление учетных записей или изменение прав доступа. Эти изменения выглядят как легитимные, что затрудняет их обнаружение с помощью стандартных механизмов мониторинга и журналирования.

Defense Evasion (TA0005)
Rogue Domain Controller (T1207)

RV-D-1391

Попытки получения информации об учетных записях

Система PT NAD позволяет обнаруживать запросы для получения информации об учетных записях. Данная активность может выполняться администраторами, разрешенными инструментами или атакующими, осуществляющими несанкционированный сбор информации.

Discovery (TA0007)
Account Discovery (T1087)
Domain Account (T1087.002)

RV-D-1396

Обнаружена попытка эксплуатации уязвимости

Система PT NAD позволяет обнаруживать попытки эксплуатации уязвимостей.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)

RV-D-1397

Запрос на репликацию от недоверенного DNS-сервера

Система PT NAD позволяет обнаружить атаку с недоверенной репликацией DNS-зоны. Репликация DNS-зоны через запрос AXFR — это процесс, при котором все содержимое DNS-зоны передается от одного DNS-сервера другому, обычно для синхронизации данных между основным и резервными серверами. Запрос AXFR (Asynchronous Full Transfer Zone) предназначен для легальной передачи полной копии зоны, однако его использование может быть опасным, если такой запрос разрешен от недоверенных источников.

Reconnaissance (TA0043)
Application Layer Protocol (T1071)
DNS (T1071.004)
Gather Victim Network Information (T1590)
DNS (T1590.002)

RV-D-1398

Подозрительная сетевая активность с одного узла

Система PT NAD обнаруживает атаки на основе сигнатурного анализа. Данное правило выявляет множественные срабатывания сигнатур за короткий промежуток времени с одного источника, направленные на различные узлы сети.

Execution (TA0002)
Exploitation for Client Execution (T1203)

RV-D-1399

Подозрительная сетевая активность с нескольких узлов

Система PT NAD обнаруживает атаки на основе сигнатур. Данное правило выявляет множественные срабатывания сигнатур за короткий промежуток времени с разных узлов, направленные на один хост.

Execution (TA0002)
Exploitation for Client Execution (T1203)

Была ли полезна эта страница?