MongoDB: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1732 |
Массовое удаление пользователей в MongoDB |
Правило срабатывает при массовом удалении пользователей в MongoDB (три и более успешных операций dropUser) от одного пользователя за короткое время. Это может указывать на злонамеренное уничтожение учетных записей. |
|
RV-D-1733 |
Удаление всех пользователей базы данных в MongoDB |
Правило срабатывает при выполнении в MongoDB команды |
|
RV-D-1734 |
Отзыв административных прав у пользователя в MongoDB |
Правило срабатывает при отзыве у пользователя MongoDB административных ролей ( |
|
RV-D-1744 |
Создание нового root пользователя в MongoDB |
Правило срабатывает при создании в MongoDB нового пользователя с ролью |
|
RV-D-1745 |
Создание нового привилегированного пользователя в MongoDB |
Правило срабатывает при создании в MongoDB нового пользователя с административными ролями ( |
|
RV-D-1747 |
Создание новой базы данных в MongoDB |
Правило срабатывает при создании новой базы данных в MongoDB пользователем. Данное действие само по себе не является злонамеренным, однако может свидетельствовать о неавторизованной активности или подготовке к дальнейшим атакам. |
|
RV-D-1750 |
Массовое удаление таблиц баз данных в MongoDB |
Правило срабатывает при массовом удалении коллекций (таблиц) в MongoDB от одного пользователя за короткое время. Это может указывать на злонамеренное уничтожение данных. |
|
RV-D-1752 |
Потенциальный подбор пароля пользователя в MongoDB |
Правило срабатывает при множественных неудачных попытках аутентификации в MongoDB для одной учетной записи за короткое время. Это может указывать на попытку подбора пароля. |
|
RV-D-1754 |
Атака Password Spraying на MongoDB |
Правило срабатывает при множественных неудачных попытках аутентификации в MongoDB с одного IP-адреса, при которых используются разные учетные записи. Это характерно для атаки Password Spraying, когда атакующий перебирает один пароль для множества учетных записей. |
Была ли полезна эта страница?