1С:Предприятие: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1737

Подбор пароля в 1С:Предприятие

Множественные ошибки аутентификации в 1С:Предприятие могут указывать на подбор пароля к учетной записи 1С.

RV-D-1738

Успешный подбор пароля в 1С:Предприятие

Успешная аутентификация в 1С:Предприятие после серии ошибок входа может указывать на компрометацию учетной записи 1С.

RV-D-1739

Изменение критичного объекта 1С

Правило выявляет успешное добавление, изменение или удаление данных критичных объектов 1С:Предприятие, указанных в активном списке critical_1c_objects_cimv2.

RV-D-1740

Создание пользователя 1С без пароля

Правило выявляет создание пользователя 1С:Предприятие с включенной стандартной аутентификацией и без установленного пароля. Такая учетная запись может быть использована для несанкционированного доступа к информационной базе.

RV-D-1746

Чтение списка пользователей 1С

Правило выявляет чтение списка активных пользователей 1С:Предприятие через технологический журнал. Такая активность может быть легитимной административной проверкой, но также используется на этапе разведки для получения сведений об учетных записях, активных сессиях и выбора дальнейших целей.

RV-D-1749

Массовая смена паролей 1С

Правило выявляет массовое успешное изменение паролей пользователей 1С:Предприятие одним инициатором за короткий промежуток времени. Такая активность может быть признаком компрометации административной учетной записи, подготовки несанкционированного доступа или попытки заблокировать доступ легитимным пользователям.

Была ли полезна эта страница?

Обратная связь