VMware ESXi и VMware vCenter Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-985	Вход под привилегированной учетной записью VMware	После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. В случае срабатывания правила рекомендуется проверить, является ли хост инициатора входа легитимным (если да, то его можно внести в исключения через активный список privileged_users_and_hosts), в ином случае, в зависимости от возможностей, следует временно ограничить использование учетной записи, сменить пароль, заблокировать доступ с хоста инициатора к серверу.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-992	Множественные неуспешные попытки аутентификации пользователя	Для получения доступа к виртуальной инфраструктуре атакующие могут попытаться подобрать пароль к учетной записи. Данное правило фиксирует множественные неудачные попытки входа от имени одного пользователя. Рекомендуется проверить, является ли такая активность легитимной. В случае подтверждения инцидента следует заблокировать адрес, с которого выполнялись попытки аутентификации, и сменить пароль для соответствующей учетной записи. Также рекомендуется ограничить доступ из внешней сети к серверу vCenter. Если попытки входа зафиксированы из внутренней сети организации, необходимо провести внутреннее расследование.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1002	Выгрузка файла с критичной виртуальной машины	После получения доступа к виртуальной инфраструктуре атакующие могут выгрузить данные, хранящиеся в хранилище гипервизора. Это могут быть как отдельные файлы, так и файлы, относящиеся к конкретной виртуальной машине, например, ее память или весь актуальный образ. После этого атакующие получают доступ к данным на машине, в том числе, к учетным данным.	Credential Access (TA0006) Collection (TA0009) OS Credential Dumping (T1003) Automated Collection (T1119)
RV-D-1003	Выгрузка нескольких файлов с критичной виртуальной машины	После получения доступа к виртуальной инфраструктуре атакующие могут выгрузить данные, хранящиеся в хранилище гипервизора. Это могут быть как отдельные файлы, так и файлы, относящиеся к конкретной виртуальной машине, например, ее память или весь актуальный образ. После этого атакующие получают доступ к данным на машине, в том числе, к учетным данным.	Credential Access (TA0006) Collection (TA0009) OS Credential Dumping (T1003) Automated Collection (T1119)
RV-D-1004	Обнаружение атаки Password Spraying	Для получения доступа к виртуальной инфраструктуре атакующие могут попробовать подбирать пароли для разных учетных записей. Данное правило обнаруживает множественные неудачные попытки входа из-под разных пользователей с одного хоста. Рекомендуется проверить, является ли данная активность легитимной или нет. В случае подтверждения инцидента рекомендуется заблокировать адрес, с которого происходят попытки аутентификации и сменить пароль для учетной записи. Также заблокировать доступ из внешней сети к серверу vCenter, если попытки были из внутренней сети организации, то провести внутреннее расследование.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003) Credential Stuffing (T1110.004)
RV-D-1005	Возможно успешный подбор пароля пользователя на VMware	Для получения доступа к виртуальной инфраструктуре атакующие могут попытаться подобрать пароль к учетной записи. Данное правило фиксирует множественные неудачные попытки входа под одним пользователем, за которыми следует успешная аутентификация. Рекомендуется проверить, является ли такая активность легитимной. В случае подтверждения инцидента следует заблокировать адрес, с которого выполнялись попытки аутентификации, и сменить пароль для соответствующей учетной записи. Также рекомендуется ограничить доступ из внешней сети к серверу vCenter. Если попытки входа зафиксированы из внутренней сети организации, необходимо провести внутреннее расследование.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1026	Изменение конфигурации критичной виртуальной машины	После получения доступа к виртуальной инфраструктуре нарушитель может изменить конфигурацию виртуальной машины (параметры памяти, хранилища или сети), чтобы нарушить работоспособность программного обеспечения, или использовать ее вычислительные мощности в своих целях. Правило предназначено для обнаружения изменений конфигурации виртуальной машины из списка critical_vm_cimv2. Для анализа подобного события требуется проверить в интерфейсе vCenter/ESXi измененные параметры, после чего запросить у ответственного за учетную запись пользователя пояснения о причинах внесенных изменений. Если легитимность действий не подтверждается, необходимо инициировать расследование инцидента.	Command and Control (TA0011) Impact (TA0040) Non-Application Layer Protocol (T1095) Data Destruction (T1485) Impair Defenses (T1562) Data Manipulation (T1565) Runtime Data Manipulation (T1565.003)
RV-D-1029	Изменение конфигурации нескольких критичных виртуальных машин	После получения доступа к виртуальной инфраструктуре пользователь может изменить параметры виртуальных машин, например, настройки памяти, хранилища или сети, что может привести к сбоям в работе программного обеспечения или к использованию ресурсов системы в нештатных целях. Правило предназначено для обнаружения событий изменений конфигурации нескольких виртуальных машин из списка critical_vm_cimv2. При выявлении подобного события необходимо через интерфейс vCenter/ESXi проверить, какие параметры были изменены, и запросить у владельца учетной записи объяснение причин внесенных изменений. Если действия не подтверждаются как легитимные, следует инициировать расследование инцидента.	Command and Control (TA0011) Impact (TA0040) Non-Application Layer Protocol (T1095) Data Destruction (T1485) Impair Defenses (T1562) Data Manipulation (T1565) Runtime Data Manipulation (T1565.003)
RV-D-1041	Вызов и выполнение Guest API в гостевой ОС	Правило детектирует использование легитимного VMware Guest Operations API для выполнения операций внутри гостевой ОС. Атакующие могут вызывать такие методы, как запуск программ, передача файлов или получение списка процессов, при наличии доступа к ESXi/vCenter и установленным VMware Tools в виртуальной машине. Подобная активность может указывать на горизонтальное перемещение или скрытное взаимодействие с гостевой системой. При срабатывании правила рекомендуется проверить легитимность действий пользователя, вызвавшего API, а также проанализировать выполняемые команды, передаваемые файлы и связанные с ними процессы внутри гостевой ОС. Если легитимность активности подтвердить не удалось, следует сменить пароль пользователя, временно изолировать виртуальную машину и начать расследование.	Execution (TA0002) ESXi Administration Command (T1675)
RV-D-1209	Создание множества виртуальных машин	После получения доступа к виртуальной инфраструктуре атакующие могут инициировать создание нескольких виртуальных машин. Такие действия позволяют массово разворачивать виртуальные экземпляры для дальнейшего перемещения внутри сети, интенсивного потребления серверных ресурсов, а также запускать виртуальные машины на основе шаблонов или образов с целью получения информации или доступа к учетным данным.	Defense Evasion (TA0005) Impact (TA0040) Data Destruction (T1485) Endpoint Denial of Service (T1499) OS Exhaustion Flood (T1499.001) Impair Defenses (T1562) Hide Artifacts (T1564) Run Virtual Instance (T1564.006)
RV-D-1219	Отключено несколько критичных виртуальных машин	Получив доступ к виртуальной инфраструктуре, нарушители могут вывести из строя одну или несколько виртуальных машин, на которых размещены средства защиты, с целью обхода механизмов обнаружения, а также системы, обрабатывающие критически важную для организации информацию, что приводит к нарушению стабильной работы инфраструктуры.	Impact (TA0040) Data Destruction (T1485) System Shutdown/Reboot (T1529) Impair Defenses (T1562)
RV-D-1225	Удалена критичная виртуальная машина	Получив доступ к виртуальной инфраструктуре, атакующие могут удалить одну или несколько виртуальных машин, например, с целью отключения защитного программного обеспечения или нарушения стабильной работы инфраструктуры.	Impact (TA0040) Data Destruction (T1485)
RV-D-1226	Удалено несколько критичных виртуальных машин	В случае компрометации виртуальной инфраструктуры атакующие могут удалить одну или несколько виртуальных машин, что может быть использовано для отключения средств защиты или нарушения функционирования инфраструктуры.	Impact (TA0040) Data Destruction (T1485)
RV-D-1270	Отключена критичная виртуальная машина	После получения доступа к виртуальной инфраструктуре атакующие могут отключить одну или несколько виртуальных машин, на которых установлено защитное ПО, для дальнейшего обхода обнаружения, или машины, на которых обрабатывается критичная для организации информация, для нарушения работоспособности инфраструктуры.	Impact (TA0040) Data Destruction (T1485) System Shutdown/Reboot (T1529) Impair Defenses (T1562)

ID правила

Название правила

Описание

Тактики и техники

RV-D-985

Вход под привилегированной учетной записью VMware

После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. В случае срабатывания правила рекомендуется проверить, является ли хост инициатора входа легитимным (если да, то его можно внести в исключения через активный список privileged_users_and_hosts), в ином случае, в зависимости от возможностей, следует временно ограничить использование учетной записи, сменить пароль, заблокировать доступ с хоста инициатора к серверу.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-992

Множественные неуспешные попытки аутентификации пользователя

Для получения доступа к виртуальной инфраструктуре атакующие могут попытаться подобрать пароль к учетной записи. Данное правило фиксирует множественные неудачные попытки входа от имени одного пользователя. Рекомендуется проверить, является ли такая активность легитимной. В случае подтверждения инцидента следует заблокировать адрес, с которого выполнялись попытки аутентификации, и сменить пароль для соответствующей учетной записи. Также рекомендуется ограничить доступ из внешней сети к серверу vCenter. Если попытки входа зафиксированы из внутренней сети организации, необходимо провести внутреннее расследование.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1002

Выгрузка файла с критичной виртуальной машины

После получения доступа к виртуальной инфраструктуре атакующие могут выгрузить данные, хранящиеся в хранилище гипервизора. Это могут быть как отдельные файлы, так и файлы, относящиеся к конкретной виртуальной машине, например, ее память или весь актуальный образ. После этого атакующие получают доступ к данным на машине, в том числе, к учетным данным.

Credential Access (TA0006)
Collection (TA0009)
OS Credential Dumping (T1003)
Automated Collection (T1119)

RV-D-1003

Выгрузка нескольких файлов с критичной виртуальной машины

Credential Access (TA0006)
Collection (TA0009)
OS Credential Dumping (T1003)
Automated Collection (T1119)

RV-D-1004

Обнаружение атаки Password Spraying

Для получения доступа к виртуальной инфраструктуре атакующие могут попробовать подбирать пароли для разных учетных записей. Данное правило обнаруживает множественные неудачные попытки входа из-под разных пользователей с одного хоста. Рекомендуется проверить, является ли данная активность легитимной или нет. В случае подтверждения инцидента рекомендуется заблокировать адрес, с которого происходят попытки аутентификации и сменить пароль для учетной записи. Также заблокировать доступ из внешней сети к серверу vCenter, если попытки были из внутренней сети организации, то провести внутреннее расследование.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)
Credential Stuffing (T1110.004)

RV-D-1005

Возможно успешный подбор пароля пользователя на VMware

Для получения доступа к виртуальной инфраструктуре атакующие могут попытаться подобрать пароль к учетной записи. Данное правило фиксирует множественные неудачные попытки входа под одним пользователем, за которыми следует успешная аутентификация. Рекомендуется проверить, является ли такая активность легитимной. В случае подтверждения инцидента следует заблокировать адрес, с которого выполнялись попытки аутентификации, и сменить пароль для соответствующей учетной записи. Также рекомендуется ограничить доступ из внешней сети к серверу vCenter. Если попытки входа зафиксированы из внутренней сети организации, необходимо провести внутреннее расследование.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1026

Изменение конфигурации критичной виртуальной машины

После получения доступа к виртуальной инфраструктуре нарушитель может изменить конфигурацию виртуальной машины (параметры памяти, хранилища или сети), чтобы нарушить работоспособность программного обеспечения, или использовать ее вычислительные мощности в своих целях. Правило предназначено для обнаружения изменений конфигурации виртуальной машины из списка critical_vm_cimv2. Для анализа подобного события требуется проверить в интерфейсе vCenter/ESXi измененные параметры, после чего запросить у ответственного за учетную запись пользователя пояснения о причинах внесенных изменений. Если легитимность действий не подтверждается, необходимо инициировать расследование инцидента.

Command and Control (TA0011)
Impact (TA0040)
Non-Application Layer Protocol (T1095)
Data Destruction (T1485)
Impair Defenses (T1562)
Data Manipulation (T1565)
Runtime Data Manipulation (T1565.003)

RV-D-1029

Изменение конфигурации нескольких критичных виртуальных машин

После получения доступа к виртуальной инфраструктуре пользователь может изменить параметры виртуальных машин, например, настройки памяти, хранилища или сети, что может привести к сбоям в работе программного обеспечения или к использованию ресурсов системы в нештатных целях. Правило предназначено для обнаружения событий изменений конфигурации нескольких виртуальных машин из списка critical_vm_cimv2. При выявлении подобного события необходимо через интерфейс vCenter/ESXi проверить, какие параметры были изменены, и запросить у владельца учетной записи объяснение причин внесенных изменений. Если действия не подтверждаются как легитимные, следует инициировать расследование инцидента.

Command and Control (TA0011)
Impact (TA0040)
Non-Application Layer Protocol (T1095)
Data Destruction (T1485)
Impair Defenses (T1562)
Data Manipulation (T1565)
Runtime Data Manipulation (T1565.003)

RV-D-1041

Вызов и выполнение Guest API в гостевой ОС

Правило детектирует использование легитимного VMware Guest Operations API для выполнения операций внутри гостевой ОС. Атакующие могут вызывать такие методы, как запуск программ, передача файлов или получение списка процессов, при наличии доступа к ESXi/vCenter и установленным VMware Tools в виртуальной машине. Подобная активность может указывать на горизонтальное перемещение или скрытное взаимодействие с гостевой системой. При срабатывании правила рекомендуется проверить легитимность действий пользователя, вызвавшего API, а также проанализировать выполняемые команды, передаваемые файлы и связанные с ними процессы внутри гостевой ОС. Если легитимность активности подтвердить не удалось, следует сменить пароль пользователя, временно изолировать виртуальную машину и начать расследование.

Execution (TA0002)
ESXi Administration Command (T1675)

RV-D-1209

Создание множества виртуальных машин

После получения доступа к виртуальной инфраструктуре атакующие могут инициировать создание нескольких виртуальных машин. Такие действия позволяют массово разворачивать виртуальные экземпляры для дальнейшего перемещения внутри сети, интенсивного потребления серверных ресурсов, а также запускать виртуальные машины на основе шаблонов или образов с целью получения информации или доступа к учетным данным.

Defense Evasion (TA0005)
Impact (TA0040)
Data Destruction (T1485)
Endpoint Denial of Service (T1499)
OS Exhaustion Flood (T1499.001)
Impair Defenses (T1562)
Hide Artifacts (T1564)
Run Virtual Instance (T1564.006)

RV-D-1219

Отключено несколько критичных виртуальных машин

Получив доступ к виртуальной инфраструктуре, нарушители могут вывести из строя одну или несколько виртуальных машин, на которых размещены средства защиты, с целью обхода механизмов обнаружения, а также системы, обрабатывающие критически важную для организации информацию, что приводит к нарушению стабильной работы инфраструктуры.

Impact (TA0040)
Data Destruction (T1485)
System Shutdown/Reboot (T1529)
Impair Defenses (T1562)

RV-D-1225

Удалена критичная виртуальная машина

Получив доступ к виртуальной инфраструктуре, атакующие могут удалить одну или несколько виртуальных машин, например, с целью отключения защитного программного обеспечения или нарушения стабильной работы инфраструктуры.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1226

Удалено несколько критичных виртуальных машин

В случае компрометации виртуальной инфраструктуры атакующие могут удалить одну или несколько виртуальных машин, что может быть использовано для отключения средств защиты или нарушения функционирования инфраструктуры.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1270

Отключена критичная виртуальная машина

После получения доступа к виртуальной инфраструктуре атакующие могут отключить одну или несколько виртуальных машин, на которых установлено защитное ПО, для дальнейшего обхода обнаружения, или машины, на которых обрабатывается критичная для организации информация, для нарушения работоспособности инфраструктуры.

Impact (TA0040)
Data Destruction (T1485)
System Shutdown/Reboot (T1529)
Impair Defenses (T1562)

Была ли полезна эта страница?

Обратная связь