MongoDB: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1732

Массовое удаление пользователей в MongoDB

Правило срабатывает при массовом удалении пользователей в MongoDB (три и более успешных операций dropUser) от одного пользователя за короткое время. Это может указывать на злонамеренное уничтожение учетных записей.

RV-D-1733

Удаление всех пользователей базы данных в MongoDB

Правило срабатывает при выполнении в MongoDB команды dropAllUsersFromDatabase, которая удаляет всех пользователей в указанной базе данных. Это критическое действие, которое может указывать на злонамеренное уничтожение учетных записей.

RV-D-1734

Отзыв административных прав у пользователя в MongoDB

Правило срабатывает при отзыве у пользователя MongoDB административных ролей (root, dbAdmin и других). Это может указывать на попытку атакующего ограничить доступ администратора.

RV-D-1744

Создание нового root пользователя в MongoDB

Правило срабатывает при создании в MongoDB нового пользователя с ролью root (административные права на все базы данных). Это может указывать на попытку атакующего закрепиться в системе или получить повышенные привилегии.

RV-D-1745

Создание нового привилегированного пользователя в MongoDB

Правило срабатывает при создании в MongoDB нового пользователя с административными ролями (userAdminAnyDatabase, dbAdminAnyDatabase, userAdmin, dbAdmin, clusterAdmin, readWriteAnyDatabase, dbOwner). Это может указывать на попытку атакующего закрепиться в системе или получить повышенные привилегии.

RV-D-1747

Создание новой базы данных в MongoDB

Правило срабатывает при создании новой базы данных в MongoDB пользователем. Данное действие само по себе не является злонамеренным, однако может свидетельствовать о неавторизованной активности или подготовке к дальнейшим атакам.

RV-D-1750

Массовое удаление таблиц баз данных в MongoDB

Правило срабатывает при массовом удалении коллекций (таблиц) в MongoDB от одного пользователя за короткое время. Это может указывать на злонамеренное уничтожение данных.

RV-D-1752

Потенциальный подбор пароля пользователя в MongoDB

Правило срабатывает при множественных неудачных попытках аутентификации в MongoDB для одной учетной записи за короткое время. Это может указывать на попытку подбора пароля.

RV-D-1754

Атака Password Spraying на MongoDB

Правило срабатывает при множественных неудачных попытках аутентификации в MongoDB с одного IP-адреса, при которых используются разные учетные записи. Это характерно для атаки Password Spraying, когда атакующий перебирает один пароль для множества учетных записей.

Была ли полезна эта страница?

Обратная связь