Код Безопасности Континент 4: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1534	Подбор пароля к серверу Континент TLS	Правило детектирует потенциальный перебор учетных записей на устройстве Континент при входе по SSH через меню локального управления или веб-консоль. В случае возникновения активности необходимо опросить владельца учетной записи инициатора активности о попытках входа с неверными учетными данными. В случае если легитимность подтвердить не удалось, заблокировать учетную запись до выяснений обстоятельств инцидента.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1541	Успешный подбор пароля к серверу Континент TLS	Правило детектирует потенциальный перебор учетных записей на устройстве с последующим успешным входом по SSH или через меню локального управления.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1545	Вход привилегированного пользователя с неизвестного хоста	Правило детектирует вход на устройство Континент TLS привилегированного пользователя с неизвестного хоста.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1546	Подбор пароля Континент методом Password Spraying	Правило обнаруживает неверные попытки аутентификации с разными учетными записями на одном устройстве в течение пяти минут. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы, о выявленной активности. В случае если легитимность подтвердить не удалось, изолировать хост-источник активности на время выяснения обстоятельств инцидента.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1534

Подбор пароля к серверу Континент TLS

Правило детектирует потенциальный перебор учетных записей на устройстве Континент при входе по SSH через меню локального управления или веб-консоль. В случае возникновения активности необходимо опросить владельца учетной записи инициатора активности о попытках входа с неверными учетными данными. В случае если легитимность подтвердить не удалось, заблокировать учетную запись до выяснений обстоятельств инцидента.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1541

Успешный подбор пароля к серверу Континент TLS

Правило детектирует потенциальный перебор учетных записей на устройстве с последующим успешным входом по SSH или через меню локального управления.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1545

Вход привилегированного пользователя с неизвестного хоста

Правило детектирует вход на устройство Континент TLS привилегированного пользователя с неизвестного хоста.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1546

Подбор пароля Континент методом Password Spraying

Правило обнаруживает неверные попытки аутентификации с разными учетными записями на одном устройстве в течение пяти минут. В случае возникновения активности необходимо опросить ответственного за хост, инициирующий запросы, о выявленной активности. В случае если легитимность подтвердить не удалось, изолировать хост-источник активности на время выяснения обстоятельств инцидента.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

Была ли полезна эта страница?

Обратная связь