Cisco ASA: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1531	Успешный подбор пароля через SSH к Cisco ASA	Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1532	Успешный подбор пароля в привилегированный режим Cisco ASA	Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1533	Подбор пароля через SSH к Cisco ASA	Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1531	Успешный подбор пароля через SSH к Cisco ASA	Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1532	Успешный подбор пароля в привилегированный режим Cisco ASA	Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1533	Подбор пароля через SSH к Cisco ASA	Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1607	Множественное выполнение команды show	Правило направлено на обнаружение потенциальной разведки локальных конфигураций и подключений Cisco ASA при помощи выполнения множества команд "show" от имени одного пользователя за короткий период времени.	Discovery (TA0007) System Network Configuration Discovery (T1016)
RV-D-1609	Изменение правил ACL на Cisco ASA	Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил Access List и их применение в Access Groups.	Lateral Movement (TA0008) Command and Control (TA0011) Command and Scripting Interpreter (T1059) Network Device CLI (T1059.008)
RV-D-1611	Потенциальная атака DoS на Cisco ASA	Правило предназначено для выявления более чем 2000 попыток подключения в течение минуты к одному внутреннему узлу. Подобная активность может свидетельствовать о проведении DDoS-атаки. При обнаружении инцидента необходимо оперативно связаться с сетевыми администраторами для блокировки адреса инициатора соединений.	Impact (TA0040) Network Denial of Service (T1498)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1531

Успешный подбор пароля через SSH к Cisco ASA

Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1532

Успешный подбор пароля в привилегированный режим Cisco ASA

Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1533

Подбор пароля через SSH к Cisco ASA

Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1531

Успешный подбор пароля через SSH к Cisco ASA

Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1532

Успешный подбор пароля в привилегированный режим Cisco ASA

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1533

Подбор пароля через SSH к Cisco ASA

Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1607

Множественное выполнение команды show

Правило направлено на обнаружение потенциальной разведки локальных конфигураций и подключений Cisco ASA при помощи выполнения множества команд "show" от имени одного пользователя за короткий период времени.

Discovery (TA0007)
System Network Configuration Discovery (T1016)

RV-D-1609

Изменение правил ACL на Cisco ASA

Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил Access List и их применение в Access Groups.

Lateral Movement (TA0008)
Command and Control (TA0011)
Command and Scripting Interpreter (T1059)
Network Device CLI (T1059.008)

RV-D-1611

Потенциальная атака DoS на Cisco ASA

Правило предназначено для выявления более чем 2000 попыток подключения в течение минуты к одному внутреннему узлу. Подобная активность может свидетельствовать о проведении DDoS-атаки. При обнаружении инцидента необходимо оперативно связаться с сетевыми администраторами для блокировки адреса инициатора соединений.

Impact (TA0040)
Network Denial of Service (T1498)

Была ли полезна эта страница?

Обратная связь