Oracle Database: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1574	Подбор пароля к СУБД Oracle	Данное правило направлено на обнаружение подозрительных действий, связанных с попытками перебора (bruteforce) учетных данных для доступа к базе данных Oracle. Такие действия могут включать многократные неудачные попытки входа в систему с использованием стандартных инструментов, таких как `sqlplus`, или автоматизированных скриптов для подбора паролей. Детектирование происходит за счет множества событий (от пяти) неудачного входа. Эксплуатация данной техники может привести к компрометации учетных записей и несанкционированному доступу к конфиденциальным данным.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1576	Успешный подбор пароля к СУБД Oracle	Данное правило направлено на обнаружение подозрительных действий, связанных с успешным перебором (bruteforce) учетных данных для доступа к базе данных Oracle. Такие действия могут включать успешный вход в систему после серии неудачных попыток, что может свидетельствовать о том, что атакующему удалось подобрать правильную комбинацию логина и пароля. Детектирование происходит за счет анализа событий входа, где успешная аутентификация следует за множеством неудачных попыток (например, пять или более). Эксплуатация данной техники может привести к компрометации учетных записей и несанкционированному доступу к конфиденциальным данным, что представляет серьезную угрозу для безопасности базы данных. Успешный `bruteforce` часто является результатом слабых паролей, отсутствия ограничений на количество попыток ввода или недостаточного мониторинга подозрительной активности.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1582	Атака Password Spraying на OracleDB	Данное правило направлено на обнаружение подозрительных действий, связанных с атакой Password Spraying на базу данных Oracle. Password Spraying — это метод атаки, при котором атакующий использует небольшое количество распространенных паролей для попытки доступа к множеству учетных записей. В отличие от классического bruteforce, где атакующий перебирает множество паролей для одной учетной записи, Password Spraying позволяет избежать блокировки учетных записей за счет распределения попыток входа по времени.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1585	Вход привилегированного пользователя в СУБД Oracle	Данное правило направлено на обнаружение попыток входа под учетными записями администратора Oracle. Доступ к таким учетным записям предоставляет атакующему полный контроль над базой данных, что может привести к утечке конфиденциальной информации, изменению критически важных данных или уничтожению структуры базы. Детектирование осуществляется путем анализа событий аутентификации, фиксирующих успешные попытки входа под административными учетными записями. Подозрительной активностью могут считаться входы с нестандартных устройств.	Initial Access (TA0001) Valid Accounts (T1078)
RV-D-1586	Поиск информации о структуре в OracleDB	Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о структуре базы данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (`DBA_TABLES`, `ALL_TABLES`, `USER_TABLES`, `DBA_OBJECTS`, `ALL_TAB_COLUMNS` и др.) с целью получения сведений о таблицах, колонках и других объектах БД. Эти данные могут быть использованы для подготовки дальнейших атак, таких как SQL-инъекции, несанкционированное чтение данных или обход механизмов контроля доступа. Детектирование данной активности основано на анализе запросов, обращающихся к системным таблицам, содержащим метаданные о структуре базы данных.	Discovery (TA0007) System Information Discovery (T1082)
RV-D-1587	Поиск информации о конфигурации OracleDB	Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о конфигурации базы данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (`V$VERSION`, `V$INSTANCE`, `PRODUCT_COMPONENT_VERSION`, `V$PARAMETER`, `V$OPTION`) с целью получения сведений о версии базы данных, установленных компонентах, параметрах конфигурации и доступных опциях. Эти данные могут быть использованы для анализа текущего состояния системы, выявления уязвимостей и подготовки дальнейших атак, таких как использование специфичных для версии уязвимостей или настройка атак с учетом доступных опций. Детектирование данной активности основано на анализе запросов, обращающихся к критически важным конфигурационным таблицам и представлениям Oracle.	Discovery (TA0007) System Information Discovery (T1082)
RV-D-1590	Получение информации о пользователях СУБД Oracle	Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о пользователях в базе данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (`DBA_USERS`, `ALL_USERS`, `USER_USERS`, `SYS.USER$`) с целью сбора данных об учетных записях, их статусе, привилегиях и ролях. Полученная информация может быть использована для дальнейших атак, таких как эскалация привилегий или подбор учетных данных. Детектирование данной активности основано на анализе запросов, обращающихся к системным таблицам, содержащим информацию о пользователях и их правах.	Discovery (TA0007) System Owner/User Discovery (T1033)
RV-D-1592	Манипуляция с учетными данными СУБД Oracle	Данное правило направлено на обнаружение подозрительных действий, связанных с созданием, изменением и удалением учетных записей в OracleDB. Атакующие могут использовать SQL-команды `CREATE USER`, `DROP USER`, `ALTER USER` и `GRANT DBA` для создания скрытых учетных записей, эскалации привилегий или удаления учетных записей с целью сокрытия своей активности. Эти действия могут указывать на попытку несанкционированного доступа, закрепления в системе или подготовки к дальнейшим атакам.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1595	Экспорт базы данных Oracle	Данное правило направлено на обнаружение подозрительных действий, связанных с экспортом базы данных в СУБД Oracle. Атакующие могут использовать стандартные утилиты `Oracle exp`, `expdp` для экспорта базы данных. Эта активность может свидетельствовать о финальном этапе атаки, после которого данные могут быть зашифрованы/удалены. Детектирование данной активности основано на анализе запуска утилиты и определенных аргументов.	Exfiltration (TA0010) Automated Exfiltration (T1020)

RV-D-1574

Подбор пароля к СУБД Oracle

Данное правило направлено на обнаружение подозрительных действий, связанных с попытками перебора (bruteforce) учетных данных для доступа к базе данных Oracle. Такие действия могут включать многократные неудачные попытки входа в систему с использованием стандартных инструментов, таких как sqlplus, или автоматизированных скриптов для подбора паролей. Детектирование происходит за счет множества событий (от пяти) неудачного входа. Эксплуатация данной техники может привести к компрометации учетных записей и несанкционированному доступу к конфиденциальным данным.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1576

Успешный подбор пароля к СУБД Oracle

Данное правило направлено на обнаружение подозрительных действий, связанных с успешным перебором (bruteforce) учетных данных для доступа к базе данных Oracle. Такие действия могут включать успешный вход в систему после серии неудачных попыток, что может свидетельствовать о том, что атакующему удалось подобрать правильную комбинацию логина и пароля. Детектирование происходит за счет анализа событий входа, где успешная аутентификация следует за множеством неудачных попыток (например, пять или более). Эксплуатация данной техники может привести к компрометации учетных записей и несанкционированному доступу к конфиденциальным данным, что представляет серьезную угрозу для безопасности базы данных. Успешный bruteforce часто является результатом слабых паролей, отсутствия ограничений на количество попыток ввода или недостаточного мониторинга подозрительной активности.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1582

Атака Password Spraying на OracleDB

Данное правило направлено на обнаружение подозрительных действий, связанных с атакой Password Spraying на базу данных Oracle. Password Spraying — это метод атаки, при котором атакующий использует небольшое количество распространенных паролей для попытки доступа к множеству учетных записей. В отличие от классического bruteforce, где атакующий перебирает множество паролей для одной учетной записи, Password Spraying позволяет избежать блокировки учетных записей за счет распределения попыток входа по времени.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1585

Вход привилегированного пользователя в СУБД Oracle

Данное правило направлено на обнаружение попыток входа под учетными записями администратора Oracle. Доступ к таким учетным записям предоставляет атакующему полный контроль над базой данных, что может привести к утечке конфиденциальной информации, изменению критически важных данных или уничтожению структуры базы. Детектирование осуществляется путем анализа событий аутентификации, фиксирующих успешные попытки входа под административными учетными записями. Подозрительной активностью могут считаться входы с нестандартных устройств.

Initial Access (TA0001)
Valid Accounts (T1078)

RV-D-1586

Поиск информации о структуре в OracleDB

Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о структуре базы данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (DBA_TABLES, ALL_TABLES, USER_TABLES, DBA_OBJECTS, ALL_TAB_COLUMNS и др.) с целью получения сведений о таблицах, колонках и других объектах БД. Эти данные могут быть использованы для подготовки дальнейших атак, таких как SQL-инъекции, несанкционированное чтение данных или обход механизмов контроля доступа. Детектирование данной активности основано на анализе запросов, обращающихся к системным таблицам, содержащим метаданные о структуре базы данных.

Discovery (TA0007)
System Information Discovery (T1082)

RV-D-1587

Поиск информации о конфигурации OracleDB

Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о конфигурации базы данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (V$VERSION, V$INSTANCE, PRODUCT_COMPONENT_VERSION, V$PARAMETER, V$OPTION) с целью получения сведений о версии базы данных, установленных компонентах, параметрах конфигурации и доступных опциях. Эти данные могут быть использованы для анализа текущего состояния системы, выявления уязвимостей и подготовки дальнейших атак, таких как использование специфичных для версии уязвимостей или настройка атак с учетом доступных опций. Детектирование данной активности основано на анализе запросов, обращающихся к критически важным конфигурационным таблицам и представлениям Oracle.

Discovery (TA0007)
System Information Discovery (T1082)

RV-D-1590

Получение информации о пользователях СУБД Oracle

Данное правило направлено на обнаружение подозрительных действий, связанных с поиском информации о пользователях в базе данных Oracle. Атакующие могут выполнять SQL-запросы к системным представлениям (DBA_USERS, ALL_USERS, USER_USERS, SYS.USER$) с целью сбора данных об учетных записях, их статусе, привилегиях и ролях. Полученная информация может быть использована для дальнейших атак, таких как эскалация привилегий или подбор учетных данных. Детектирование данной активности основано на анализе запросов, обращающихся к системным таблицам, содержащим информацию о пользователях и их правах.

Discovery (TA0007)
System Owner/User Discovery (T1033)

RV-D-1592

Манипуляция с учетными данными СУБД Oracle

Данное правило направлено на обнаружение подозрительных действий, связанных с созданием, изменением и удалением учетных записей в OracleDB. Атакующие могут использовать SQL-команды CREATE USER, DROP USER, ALTER USER и GRANT DBA для создания скрытых учетных записей, эскалации привилегий или удаления учетных записей с целью сокрытия своей активности. Эти действия могут указывать на попытку несанкционированного доступа, закрепления в системе или подготовки к дальнейшим атакам.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1595

Экспорт базы данных Oracle

Данное правило направлено на обнаружение подозрительных действий, связанных с экспортом базы данных в СУБД Oracle. Атакующие могут использовать стандартные утилиты Oracle exp, expdp для экспорта базы данных. Эта активность может свидетельствовать о финальном этапе атаки, после которого данные могут быть зашифрованы/удалены. Детектирование данной активности основано на анализе запуска утилиты и определенных аргументов.

Exfiltration (TA0010)
Automated Exfiltration (T1020)

Была ли полезна эта страница?