Cisco ASA: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1531

Успешный подбор пароля через SSH к Cisco ASA

Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.

RV-D-1532

Успешный подбор пароля в привилегированный режим Cisco ASA

Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения.

RV-D-1533

Подбор пароля через SSH к Cisco ASA

Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.

RV-D-1531

Успешный подбор пароля через SSH к Cisco ASA

Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.

RV-D-1532

Успешный подбор пароля в привилегированный режим Cisco ASA

Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения.

RV-D-1533

Подбор пароля через SSH к Cisco ASA

Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.

RV-D-1607

Множественное выполнение команды show

Правило направлено на обнаружение потенциальной разведки локальных конфигураций и подключений Cisco ASA при помощи выполнения множества команд "show" от имени одного пользователя за короткий период времени.

  • Discovery (TA0007)

  • System Network Configuration Discovery (T1016)

RV-D-1609

Изменение правил ACL на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил Access List и их применение в Access Groups.

RV-D-1611

Потенциальная атака DoS на Cisco ASA

Правило предназначено для выявления более чем 2000 попыток подключения в течение минуты к одному внутреннему узлу. Подобная активность может свидетельствовать о проведении DDoS-атаки. При обнаружении инцидента необходимо оперативно связаться с сетевыми администраторами для блокировки адреса инициатора соединений.

RV-D-1615

Отключение или ослабление логирования на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на потенциальное отключение логирования или изменение его параметров для ослабления логирования событий.

RV-D-1617

Изменение правил NAT на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил NAT.

RV-D-1632

Изменение криптокарт на Cisco ASA

Правило обнаруживает выполнение команд, направленных на изменение конфигурации криптокарт на Cisco ASA.

RV-D-1636

Изменение AAA-серверов на Cisco ASA

Правило обнаруживает выполнение команд, направленных на изменение конфигурации серверов аутентификации (AAA) на Cisco ASA.

RV-D-1640

Изменение NTP или системного времени на Cisco ASA

Правило обнаруживает выполнение команд, направленных на изменение конфигурации сервиса NTP и параметров системного времени на Cisco ASA.

RV-D-1643

Массовые изменения конфигурации на Cisco ASA

Правило нацелено на обнаружение аномального количества событий выполнения уникальных команд от одного пользователя, направленных на изменение конфигурации Cisco ASA за определенный промежуток времени.

RV-D-1644

Перезапуск устройства или модулей Cisco ASA

Правило обнаруживает выполнение команд, перезагрузку устройства либо изменение образа загрузки с последующей перезагрузкой Cisco ASA.

  • Impact (TA0040)

  • Network Denial of Service (T1498)

  • Endpoint Denial of Service (T1499)

  • System Shutdown/Reboot (T1529)

RV-D-1646

Изменение пароля локального пользователя на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение пароля локального пользователя или пользователя в текущей сессии.

  • Persistence (TA0003)

  • Privilege Escalation (TA0004)

  • Exploitation for Privilege Escalation (T1068)

  • Account Manipulation (T1098)

RV-D-1647

Изменение привилегий локального пользователя на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение привилегий локального пользователя или пользователя в текущей сессии.

  • Persistence (TA0003)

  • Privilege Escalation (TA0004)

  • Account Manipulation (T1098)

  • Abuse Elevation Control Mechanism (T1548)

RV-D-1649

Изменение конфигурации VPN на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или текущей конфигурации VPN.

RV-D-1651

Изменение состояния интерфейса на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или параметров сетевого интерфейса.

RV-D-1655

Изменение настроек межсетевого экрана на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или текущей конфигурации межсетевого экрана.

RV-D-1756

Зафиксирована активность захвата пакетов на Cisco ASA

Правило срабатывает при выполнении команды capture на устройстве Cisco ASA, которая включает режим захвата сетевых пакетов. Это может указывать на попытку атакующего перехватить сетевой трафик для последующего анализа или сбора учетных данных.

Была ли полезна эта страница?

Обратная связь