InfoWatch Traffic Monitor: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1519	Password Spraying в InfoWatch TM	Правило обнаруживает неудачные попытки аутентификации с разными учетными записями в InfoWatch TM. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы аутентификации.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1555	Атака Brute Force к InfoWatch TM	Правило обнаруживает множественные неудачные попытки подключения к InfoWatch TM от одной учетной записи.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1556	Создание администратора в InfoWatch TM	Атакующий в рамках закрепления может создать новую учетную запись и выдать ей права администратора на случай, если скомпрометированную УЗ ограничат. Права в системе InfoWath TM представляют собой различные роли, которые имеют определенные привилегии. Выдача новой роли с одной из критичных административных привилегий может указывать на вредоносную активность, так как доступ к компонентам системы основывается на ролевой системе разграничения прав доступа.	Persistence (TA0003) Valid Accounts (T1078) Default Accounts (T1078.001) Local Accounts (T1078.003) Create Account (T1136) Local Account (T1136.001)
RV-D-1559	Создание роли администратора в InfoWatch TM	Атакующий в рамках закрепления может создать новую учетную запись и выдать ей права администратора на случай, если скомпрометированную УЗ ограничат. Правило обнаруживает создание новой роли с правами Администратора и назначение её пользователю в панели InfoWatch TM.	Persistence (TA0003) Valid Accounts (T1078) Default Accounts (T1078.001) Local Accounts (T1078.003) Account Manipulation (T1098)
RV-D-1560	Массовое удаление пользователей	Атакующие могут сделать системы и сетевые ресурсы недоступными, препятствуя доступу к учетным записям легитимных пользователей. Для предотвращения доступа к учетным записям они могут быть удалены, заблокированы или изменены (например, могут быть изменены их учетные данные). Правило обнаруживает множественные удаления учетных записей в InfoWatch TM от одной учетной записи.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1561	Отключение политики защиты данных в InfoWatch TM	Политики — совокупность правил, в соответствии с которыми проводится анализ и обработка объектов перехвата. Правило состоит из набора условий, по которым выполняется проверка объекта, и действий, осуществляемых при выполнении или невыполнении заданных условий. Политика реагирует на предполагаемые действия персон в соответствии с заданным алгоритмом ответных действий системы, которые были заданы офицером безопасности или администратором. Правило обнаруживает отключение политики защиты данных в панели InfoWatch TM и применение конфигурации.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1564	Успешная атака Brute Force к InfoWatch TM	Правило детектирует успешный вход в панель управления InfoWatch TM после нескольких попыток неудачной аутентификации.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1519

Password Spraying в InfoWatch TM

Правило обнаруживает неудачные попытки аутентификации с разными учетными записями в InfoWatch TM. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы аутентификации.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1555

Атака Brute Force к InfoWatch TM

Правило обнаруживает множественные неудачные попытки подключения к InfoWatch TM от одной учетной записи.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1556

Создание администратора в InfoWatch TM

Атакующий в рамках закрепления может создать новую учетную запись и выдать ей права администратора на случай, если скомпрометированную УЗ ограничат. Права в системе InfoWath TM представляют собой различные роли, которые имеют определенные привилегии. Выдача новой роли с одной из критичных административных привилегий может указывать на вредоносную активность, так как доступ к компонентам системы основывается на ролевой системе разграничения прав доступа.

Persistence (TA0003)
Valid Accounts (T1078)
Default Accounts (T1078.001)
Local Accounts (T1078.003)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1559

Создание роли администратора в InfoWatch TM

Атакующий в рамках закрепления может создать новую учетную запись и выдать ей права администратора на случай, если скомпрометированную УЗ ограничат. Правило обнаруживает создание новой роли с правами Администратора и назначение её пользователю в панели InfoWatch TM.

Persistence (TA0003)
Valid Accounts (T1078)
Default Accounts (T1078.001)
Local Accounts (T1078.003)
Account Manipulation (T1098)

RV-D-1560

Массовое удаление пользователей

Атакующие могут сделать системы и сетевые ресурсы недоступными, препятствуя доступу к учетным записям легитимных пользователей. Для предотвращения доступа к учетным записям они могут быть удалены, заблокированы или изменены (например, могут быть изменены их учетные данные). Правило обнаруживает множественные удаления учетных записей в InfoWatch TM от одной учетной записи.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1561

Отключение политики защиты данных в InfoWatch TM

Политики — совокупность правил, в соответствии с которыми проводится анализ и обработка объектов перехвата. Правило состоит из набора условий, по которым выполняется проверка объекта, и действий, осуществляемых при выполнении или невыполнении заданных условий. Политика реагирует на предполагаемые действия персон в соответствии с заданным алгоритмом ответных действий системы, которые были заданы офицером безопасности или администратором. Правило обнаруживает отключение политики защиты данных в панели InfoWatch TM и применение конфигурации.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1564

Успешная атака Brute Force к InfoWatch TM

Правило детектирует успешный вход в панель управления InfoWatch TM после нескольких попыток неудачной аутентификации.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

Была ли полезна эта страница?