Cisco ASA: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1531 |
Успешный подбор пароля через SSH к Cisco ASA |
Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения. |
|
RV-D-1532 |
Успешный подбор пароля в привилегированный режим Cisco ASA |
Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения. |
|
RV-D-1533 |
Подбор пароля через SSH к Cisco ASA |
Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH. |
|
RV-D-1531 |
Успешный подбор пароля через SSH к Cisco ASA |
Правило обнаруживает успешную попытку входа по SSH после нескольких неудачных попыток подключения. |
|
RV-D-1532 |
Успешный подбор пароля в привилегированный режим Cisco ASA |
Правило обнаруживает успешную попытку входа в административный режим после нескольких неудачных попыток подключения. |
|
RV-D-1533 |
Подбор пароля через SSH к Cisco ASA |
Правило обнаруживает потенциальный перебор учетных записей на устройстве по SSH. |
|
RV-D-1607 |
Множественное выполнение команды show |
Правило направлено на обнаружение потенциальной разведки локальных конфигураций и подключений Cisco ASA при помощи выполнения множества команд "show" от имени одного пользователя за короткий период времени. |
|
RV-D-1609 |
Изменение правил ACL на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил Access List и их применение в Access Groups. |
|
RV-D-1611 |
Потенциальная атака DoS на Cisco ASA |
Правило предназначено для выявления более чем 2000 попыток подключения в течение минуты к одному внутреннему узлу. Подобная активность может свидетельствовать о проведении DDoS-атаки. При обнаружении инцидента необходимо оперативно связаться с сетевыми администраторами для блокировки адреса инициатора соединений. |
|
RV-D-1615 |
Отключение или ослабление логирования на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на потенциальное отключение логирования или изменение его параметров для ослабления логирования событий. |
|
RV-D-1617 |
Изменение правил NAT на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение конфигурации или установленных правил NAT. |
|
RV-D-1632 |
Изменение криптокарт на Cisco ASA |
Правило обнаруживает выполнение команд, направленных на изменение конфигурации криптокарт на Cisco ASA. |
|
RV-D-1636 |
Изменение AAA-серверов на Cisco ASA |
Правило обнаруживает выполнение команд, направленных на изменение конфигурации серверов аутентификации (AAA) на Cisco ASA. |
|
RV-D-1640 |
Изменение NTP или системного времени на Cisco ASA |
Правило обнаруживает выполнение команд, направленных на изменение конфигурации сервиса NTP и параметров системного времени на Cisco ASA. |
|
RV-D-1643 |
Массовые изменения конфигурации на Cisco ASA |
Правило нацелено на обнаружение аномального количества событий выполнения уникальных команд от одного пользователя, направленных на изменение конфигурации Cisco ASA за определенный промежуток времени. |
|
RV-D-1644 |
Перезапуск устройства или модулей Cisco ASA |
Правило обнаруживает выполнение команд, перезагрузку устройства либо изменение образа загрузки с последующей перезагрузкой Cisco ASA. |
|
RV-D-1646 |
Изменение пароля локального пользователя на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение пароля локального пользователя или пользователя в текущей сессии. |
|
RV-D-1647 |
Изменение привилегий локального пользователя на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение привилегий локального пользователя или пользователя в текущей сессии. |
|
RV-D-1649 |
Изменение конфигурации VPN на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или текущей конфигурации VPN. |
|
RV-D-1651 |
Изменение состояния интерфейса на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или параметров сетевого интерфейса. |
|
RV-D-1655 |
Изменение настроек межсетевого экрана на Cisco ASA |
Правило обнаруживает выполнение команд на Cisco ASA, направленных на изменение состояния или текущей конфигурации межсетевого экрана. |
|
RV-D-1756 |
Зафиксирована активность захвата пакетов на Cisco ASA |
Правило срабатывает при выполнении команды |
Была ли полезна эта страница?