1С:Предприятие: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1737 |
Подбор пароля в 1С:Предприятие |
Множественные ошибки аутентификации в 1С:Предприятие могут указывать на подбор пароля к учетной записи 1С. |
|
RV-D-1738 |
Успешный подбор пароля в 1С:Предприятие |
Успешная аутентификация в 1С:Предприятие после серии ошибок входа может указывать на компрометацию учетной записи 1С. |
|
RV-D-1739 |
Изменение критичного объекта 1С |
Правило выявляет успешное добавление, изменение или удаление данных критичных объектов 1С:Предприятие, указанных в активном списке |
|
RV-D-1740 |
Создание пользователя 1С без пароля |
Правило выявляет создание пользователя 1С:Предприятие с включенной стандартной аутентификацией и без установленного пароля. Такая учетная запись может быть использована для несанкционированного доступа к информационной базе. |
|
RV-D-1746 |
Чтение списка пользователей 1С |
Правило выявляет чтение списка активных пользователей 1С:Предприятие через технологический журнал. Такая активность может быть легитимной административной проверкой, но также используется на этапе разведки для получения сведений об учетных записях, активных сессиях и выбора дальнейших целей. |
|
RV-D-1749 |
Массовая смена паролей 1С |
Правило выявляет массовое успешное изменение паролей пользователей 1С:Предприятие одним инициатором за короткий промежуток времени. Такая активность может быть признаком компрометации административной учетной записи, подготовки несанкционированного доступа или попытки заблокировать доступ легитимным пользователям. |
Была ли полезна эта страница?