Код Безопасности Континент 4: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1534	Подбор пароля к серверу Континент TLS	Правило детектирует потенциальный перебор учетных записей на устройстве Континент при входе по SSH через меню локального управления или веб-консоль. В случае возникновения активности необходимо опросить владельца учетной записи инициатора активности о попытках входа с неверными учетными данными. В случае если легитимность подтвердить не удалось, заблокировать учетную запись до выяснений обстоятельств инцидента.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1541	Успешный подбор пароля к серверу Континент TLS	Правило детектирует потенциальный перебор учетных записей на устройстве с последующим успешным входом по SSH или через меню локального управления.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1545	Вход привилегированного пользователя с неизвестного хоста	Правило детектирует вход на устройство Континент TLS привилегированного пользователя с неизвестного хоста.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1546	Подбор пароля Континент методом Password Spraying	Правило обнаруживает неверные попытки аутентификации с разными учетными записями на одном устройстве в течение пяти минут. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы, о выявленной активности. В случае если легитимность подтвердить не удалось, изолировать хост-источник активности на время выяснения обстоятельств инцидента.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1601	Добавление пользователя в критическую группу Континент TLS	Правило детектирует событие добавления пользователя в критическую группу на сервере Континент TLS.	Persistence (TA0003) Account Manipulation (T1098) Additional Local or Domain Groups (T1098.007)
RV-D-1602	Изменение административной УЗ Континент TLS	Правило детектирует событие изменения административной учетной записи на сервере Континент TLS.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1604	Изменение правил межсетевого экранирования Континент	Правило детектирует событие изменения правил межсетевого экранирования на сервере Континент.	Defense Evasion (TA0005)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1534

Подбор пароля к серверу Континент TLS

Правило детектирует потенциальный перебор учетных записей на устройстве Континент при входе по SSH через меню локального управления или веб-консоль. В случае возникновения активности необходимо опросить владельца учетной записи инициатора активности о попытках входа с неверными учетными данными. В случае если легитимность подтвердить не удалось, заблокировать учетную запись до выяснений обстоятельств инцидента.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1541

Успешный подбор пароля к серверу Континент TLS

Правило детектирует потенциальный перебор учетных записей на устройстве с последующим успешным входом по SSH или через меню локального управления.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1545

Вход привилегированного пользователя с неизвестного хоста

Правило детектирует вход на устройство Континент TLS привилегированного пользователя с неизвестного хоста.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1546

Подбор пароля Континент методом Password Spraying

Правило обнаруживает неверные попытки аутентификации с разными учетными записями на одном устройстве в течение пяти минут. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы, о выявленной активности. В случае если легитимность подтвердить не удалось, изолировать хост-источник активности на время выяснения обстоятельств инцидента.