Битрикс24: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1702

Множественные неудачные входы Битрикс24

Атакующие могут выполнять подбор пароля к учетным записям Битрикс24 через веб-интерфейс авторизации.

RV-D-1704

Вход администратора Битрикс24 с разных IP-адресов

Правило выявляет успешные входы администратора Битрикс24 с разных IP-адресов за короткий промежуток времени. Такое поведение может указывать на компрометацию административной учетной записи или использование учетных данных из нетипичных источников.

RV-D-1707

Массовая смена паролей Битрикс24

Правило выявляет массовую успешную смену паролей пользователей Битрикс24 одним инициатором за короткий промежуток времени. Такая активность может указывать на компрометацию административной учетной записи или несанкционированное изменение доступа к учетным записям.

RV-D-1711

Множественные срабатывания фильтра безопасности Битрикс24

Правило выявляет множественные срабатывания фильтра безопасности Битрикс24 SECURITY_FILTER_* с одного IP-адреса за короткий промежуток времени. Такая активность может указывать на сканирование веб-приложения или попытки эксплуатации уязвимостей, например XSS, PHP-инъекций или traversal-запросов.

  • Initial Access (TA0001)

  • Exploit Public-Facing Application (T1190)

RV-D-1714

Выдача прав на модуль Битрикс24

Правило выявляет выдачу прав на модуль Битрикс24, когда для модуля изменяются разрешения с пустого значения на непустое. Такая активность может быть легитимным административным действием, но при компрометации учетной записи позволяет расширить доступ к функциональности Битрикс24.

RV-D-1718

Операции с модулями Битрикс24

Правило выявляет загрузку, установку или удаление модулей Битрикс24. Такие действия могут быть легитимным администрированием, но при компрометации учетной записи позволяют атакующему добавить новый компонент приложения, изменить доступную функциональность или скрыть следы предыдущих изменений.

  • Persistence (TA0003)

  • Server Software Component (T1505)

RV-D-1753

Успешный подбор пароля Битрикс24

Правило обнаруживает успешный вход в Битрикс24 после множественных неудачных попыток аутентификации той же учетной записи с того же источника.

Была ли полезна эта страница?

Обратная связь