MULTIFACTOR Radius Adapter: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1695

Обход MFA при недоступности MULTIFACTOR API

Правило выявляет случаи обхода второго фактора аутентификации вследствие недоступности сервиса MULTIFACTOR. Детектирование основано на корреляции событий ошибки обращения к MULTIFACTOR API (error_occured) и последующего события пропуска второго фактора (bypass_second) для одного пользователя, ресурса и идентификатора сессии (field1). Подобная ситуация означает, что пользователь получил доступ к защищенному ресурсу без прохождения MFA-проверки. Такие события могут свидетельствовать о деградации инфраструктуры MFA, ошибках конфигурации или потенциальных попытках обхода механизмов усиленной аутентификации.

  • Credential Access (TA0006)

  • Modify Authentication Process (T1556)

  • Multi-Factor Authentication (T1556.006)

RV-D-1703

Множественные запросы второго фактора аутентификации в MULTIFACTOR

Правило выявляет множественные запросы второго фактора аутентификации для одного пользователя в инфраструктуре MULTIFACTOR. Детектирование основано на регистрации десяти и более запросов доступа (received_accessrequest) в течение пяти минут. Подобная активность может свидетельствовать о попытке реализации техники MFA Fatigue (MFA Prompt Bombing), при которой атакующий, обладая корректными учетными данными пользователя, инициирует большое количество MFA-запросов в надежде добиться их подтверждения.

  • Credential Access (TA0006)

  • Multi-Factor Authentication Request Generation (T1621)

RV-D-1705

Второй фактор подтвержден без предварительного MFA-запроса

Правило выявляет случаи подтверждения второго фактора аутентификации в системе MULTIFACTOR без предварительного явного запроса MFA. Детектирование основано на корреляции события отправки MFA-запроса (received_accessrequest) и события успешной валидации второго фактора (accessaccept_sent) в рамках одной сессии. Отсутствие связанного запроса может свидетельствовать о некорректной интеграции, ошибках синхронизации состояния MFA или потенциальной попытке обхода механизма аутентификации.

  • Credential Access (TA0006)

  • Modify Authentication Process (T1556)

  • Multi-Factor Authentication (T1556.006)

RV-D-1708

Получен доступ без прохождения MFA-челленджа

Правило выявляет случаи предоставления доступа пользователю к ресурсу без зафиксированного прохождения MFA-челленджа в MULTIFACTOR. Детектирование основано на корреляции события успешного предоставления доступа (accessaccept_sent) и события обработки MFA-челленджа (challenge_*) в рамках одной сессии. Отсутствие события прохождения челленджа может свидетельствовать о нарушении цепочки многофакторной аутентификации, ошибках интеграции MultiFactor Radius Adapter, рассинхронизации состояния MFA либо потенциальной попытке обхода механизма второго фактора.

  • Credential Access (TA0006)

  • Modify Authentication Process (T1556)

  • Multi-Factor Authentication (T1556.006)

RV-D-1713

Подбор пароля для подтверждения второго фактора аутентификации

Правило выявляет попытки подбора кода подтверждения второго фактора аутентификации в системе MULTIFACTOR. Детектирование основано на корреляции множественных событий отправки запроса на проверку второго фактора (sending_request с передачей введенного пользователем кода в ChallengeDto) в рамках одной транзакции (src_object_id) и последующего успешного прохождения MFA-челленджа (challenge_* с результатом accept). Наличие серии таких событий может свидетельствовать о переборе OTP/кода подтверждения для обхода механизма многофакторной аутентификации.

Была ли полезна эта страница?

Обратная связь