Microsoft Windows System: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-785	Остановка критичных сервисов	Данное правило направлено на детектирование подозрительных действий, связанных с остановкой критически важных сервисов, обеспечивающих стабильное функционирование системы или приложений. Такое поведение является аномальным для стандартных административных задач и может указывать на попытку атакующего нарушить работу системы, отключить защитные механизмы или подготовить инфраструктуру для дальнейших атак. Обнаружение основывается на событиях остановки служб, таких как Service Control Manager (Event ID 7036) в Windows. Остановка ключевых служб может привести к отказу в обслуживании, снижению уровня безопасности системы или потере данных, что делает своевременное обнаружение и реагирование критически важными для защиты инфраструктуры. В случае срабатывания правила необходимо запросить информацию у ответственного за узел о причинах активности. Если подтверждения легитимности не последовало, рекомендуется ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.	Impact (TA0040) Service Stop (T1489)

ID правила

Название правила

Описание

Тактики и техники

RV-D-785

Остановка критичных сервисов

Данное правило направлено на детектирование подозрительных действий, связанных с остановкой критически важных сервисов, обеспечивающих стабильное функционирование системы или приложений. Такое поведение является аномальным для стандартных административных задач и может указывать на попытку атакующего нарушить работу системы, отключить защитные механизмы или подготовить инфраструктуру для дальнейших атак. Обнаружение основывается на событиях остановки служб, таких как Service Control Manager (Event ID 7036) в Windows. Остановка ключевых служб может привести к отказу в обслуживании, снижению уровня безопасности системы или потере данных, что делает своевременное обнаружение и реагирование критически важными для защиты инфраструктуры. В случае срабатывания правила необходимо запросить информацию у ответственного за узел о причинах активности. Если подтверждения легитимности не последовало, рекомендуется ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.

Impact (TA0040)
Service Stop (T1489)

Была ли полезна эта страница?