Гарда WAF: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1441	Подбор пароля пользователя к Garda WAF	Правило детектирует перебор паролей для одного пользователя. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1442	Успешный подбор пароля к Garda WAF	Правило детектирует успешную аутентификацию после серии попыток подбора пароля. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1443	Атака Password Spraying на Garda WAF	Атакующие могут использовать один или небольшой список часто используемых паролей для многих различных учетных записей, чтобы попытаться получить действительные учетные данные.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1444	Добавление пользователю критичной роли в Garda WAF	Атакующий в рамках закрепления может создать новую роль с критичными правами или назначить расширенные права доступа существующей роли. Данное правило также детектирует создание пользователя. В случае детектирования данного инцидента необходимо получить подтверждение активности от ответственного лица за учетную запись.	Persistence (TA0003) Account Manipulation (T1098) Additional Local or Domain Groups (T1098.007)
RV-D-1448	Массовое удаление УЗ Garda WAF	Атакующий, получив доступ к административной панели Garda WAF, может удалить учетные записи пользователей, чтобы затруднить их повторный вход и скрыть следы своей активности. Массовое удаление учетных записей может указывать на попытку нарушения работы системы безопасности. Правило обнаруживает множественные удаления учетных записей в Garda WAF инициированное одной учетной записью.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1451	Отключение или изменение паттерна Garda WAF	Атакующий в рамках защиты от обнаружения может отключить или удалить паттерны валидации, которые отвечают за валидацию обращений к защищаемому ресурсу, а также отключить и удалить паттерны, отвечающие за парольную политику.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1452	Изменение настроек защиты подключенного сервера	Правило отслеживает изменение настроек защиты на подключенных серверах, использующих ModSecurity. Основной фокус – детектирование перехода в пассивные режимы, когда защита перестает активно блокировать атаки.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1454	Атака на веб-приложение Garda WAF	Garda WAF — это сетевой экран уровня приложений, который защищает и обнаруживает веб-атаки на сайты и приложения. В результате мы можем получать оповещения средства защиты информации (далее — СЗИ) о произошедших событиях веб-атаки.	Initial Access (TA0001) Execution (TA0002) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003)
RV-D-1458	Множественные атаки на веб-приложение Garda WAF	Garda WAF — это сетевой экран уровня приложений, который защищает и обнаруживает веб-атаки на сайты и приложения. В результате мы можем получать оповещения средства защиты информации (далее — СЗИ) о произошедших событиях веб-атаки. Данное правило детектирует множественные веб-атаки различных типов, направленные на один хост.	Initial Access (TA0001) Execution (TA0002) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003)
RV-D-1460	Множественная атака на веб-приложение Garda WAF	Garda WAF — это сетевой экран уровня приложений, который защищает и обнаруживает веб-атаки на сайты и приложения. В результате мы можем получать оповещения от средства защиты информации (далее — СЗИ) о произошедших событиях веб-атаки. Данное правило обнаруживает на веб-сервере множественные атаки одного типа.	Initial Access (TA0001) Execution (TA0002) Persistence (TA0003) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1441

Подбор пароля пользователя к Garda WAF

Правило детектирует перебор паролей для одного пользователя. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1442

Успешный подбор пароля к Garda WAF

Правило детектирует успешную аутентификацию после серии попыток подбора пароля. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1443

Атака Password Spraying на Garda WAF

Атакующие могут использовать один или небольшой список часто используемых паролей для многих различных учетных записей, чтобы попытаться получить действительные учетные данные.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1444

Добавление пользователю критичной роли в Garda WAF

Атакующий в рамках закрепления может создать новую роль с критичными правами или назначить расширенные права доступа существующей роли. Данное правило также детектирует создание пользователя. В случае детектирования данного инцидента необходимо получить подтверждение активности от ответственного лица за учетную запись.

Persistence (TA0003)
Account Manipulation (T1098)
Additional Local or Domain Groups (T1098.007)

RV-D-1448

Массовое удаление УЗ Garda WAF

Атакующий, получив доступ к административной панели Garda WAF, может удалить учетные записи пользователей, чтобы затруднить их повторный вход и скрыть следы своей активности. Массовое удаление учетных записей может указывать на попытку нарушения работы системы безопасности. Правило обнаруживает множественные удаления учетных записей в Garda WAF инициированное одной учетной записью.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1451

Отключение или изменение паттерна Garda WAF

Атакующий в рамках защиты от обнаружения может отключить или удалить паттерны валидации, которые отвечают за валидацию обращений к защищаемому ресурсу, а также отключить и удалить паттерны, отвечающие за парольную политику.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1452

Изменение настроек защиты подключенного сервера

Правило отслеживает изменение настроек защиты на подключенных серверах, использующих ModSecurity. Основной фокус – детектирование перехода в пассивные режимы, когда защита перестает активно блокировать атаки.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1454

Атака на веб-приложение Garda WAF

Garda WAF — это сетевой экран уровня приложений, который защищает и обнаруживает веб-атаки на сайты и приложения. В результате мы можем получать оповещения средства защиты информации (далее — СЗИ) о произошедших событиях веб-атаки.

Initial Access (TA0001)
Execution (TA0002)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)

RV-D-1458

Множественные атаки на веб-приложение Garda WAF

Initial Access (TA0001)
Execution (TA0002)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)

RV-D-1460

Множественная атака на веб-приложение Garda WAF

Garda WAF — это сетевой экран уровня приложений, который защищает и обнаруживает веб-атаки на сайты и приложения. В результате мы можем получать оповещения от средства защиты информации (далее — СЗИ) о произошедших событиях веб-атаки. Данное правило обнаруживает на веб-сервере множественные атаки одного типа.

Initial Access (TA0001)
Execution (TA0002)
Persistence (TA0003)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)

Была ли полезна эта страница?