С-Терра Шлюз: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1526	Создан пользователь на S-Terra Gate	Атакующие после получения доступа к системе S-Terra могут создать нового пользователя, таким образом можно временно закрепиться в системе и вносить свои изменения в конфигурацию.	Persistence (TA0003) Account Manipulation (T1098) Create Account (T1136) Local Account (T1136.001)
RV-D-1527	Отключена отправка событий на S-Terra Gate	После получения доступа к системе S-Terra атакующие могут отключить отправку системных событий на удаленный узел, чтобы скрыть свои дальнейшие вредоносные действия.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1528	Изменен пароль для привилегированного режима	Атакующие после получения доступа к системе S-Terra и внесения изменений могут изменить пароль или секрет для входа в привилегированный режим, таким образом, можно временно закрепиться в системе и вносить свои изменения в конфигурацию, это также не позволит администратору быстро изменить настройки системы.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1529	Очищен файл конфигурации на S-Terra Gate	Атакующие, после получения доступа к системе S-Terra для изменения конфигурации системы, могут очистить текущий файл конфигурации для сброса настроек и установки своей конфигурации.	Defense Evasion (TA0005) Indicator Removal (T1070) Clear Network Connection History and Configurations (T1070.007)
RV-D-1530	Вход в привилегированный режим на S-Terra Gate	Атакующие для получения доступа к системе S-Terra и изменения параметров должны сначала войти в привилегированный режим системы. Таким образом можно закрепиться в системе или вносить свои изменения в конфигурацию.	Persistence (TA0003) Privilege Escalation (TA0004) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1536	Удален файл на S-Terra Gate	Атакующие, после получения доступа к системе S-Terra, могут удалить критичные файлы или папки из системы, например, файлы логов, пользователей или конфигурации системы.	Impact (TA0040) Data Destruction (T1485) Lifecycle-Triggered Deletion (T1485.001)
RV-D-1538	Подбор пароля для привилегированного режима	Атакующие для получения доступа к привилегированному режиму S-Terra Gate могут попробовать подобрать пароль. Данное правило обнаруживает множественные неудачные попытки входа в привилегированный режим.	Brute Force (T1110)
RV-D-1539	Выдача максимальных привилегий для пользователя	Атакующие после получения доступа к системе S-Terra могут попробовать выдать максимальные привилегии в системе для пользователя, что позволит закрепиться на устройстве.	Privilege Escalation (TA0004) Valid Accounts (T1078) Local Accounts (T1078.003) Account Manipulation (T1098) Abuse Elevation Control Mechanism (T1548)
RV-D-1540	Настроена отправка логов на неизвестный узел	Атакующие после получения доступа к системе S-Terra могут изменить конфигурацию и установить отправку логов системы на другой неизвестный узел, тем самым отключить мониторинг устройства.	Execution (TA0002) Command and Scripting Interpreter (T1059) Network Device CLI (T1059.008)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1526

Создан пользователь на S-Terra Gate

Атакующие после получения доступа к системе S-Terra могут создать нового пользователя, таким образом можно временно закрепиться в системе и вносить свои изменения в конфигурацию.

Persistence (TA0003)
Account Manipulation (T1098)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1527

Отключена отправка событий на S-Terra Gate

После получения доступа к системе S-Terra атакующие могут отключить отправку системных событий на удаленный узел, чтобы скрыть свои дальнейшие вредоносные действия.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1528

Изменен пароль для привилегированного режима

Атакующие после получения доступа к системе S-Terra и внесения изменений могут изменить пароль или секрет для входа в привилегированный режим, таким образом, можно временно закрепиться в системе и вносить свои изменения в конфигурацию, это также не позволит администратору быстро изменить настройки системы.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1529

Очищен файл конфигурации на S-Terra Gate

Атакующие, после получения доступа к системе S-Terra для изменения конфигурации системы, могут очистить текущий файл конфигурации для сброса настроек и установки своей конфигурации.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Clear Network Connection History and Configurations (T1070.007)

RV-D-1530

Вход в привилегированный режим на S-Terra Gate

Атакующие для получения доступа к системе S-Terra и изменения параметров должны сначала войти в привилегированный режим системы. Таким образом можно закрепиться в системе или вносить свои изменения в конфигурацию.

Persistence (TA0003)
Privilege Escalation (TA0004)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1536

Удален файл на S-Terra Gate

Атакующие, после получения доступа к системе S-Terra, могут удалить критичные файлы или папки из системы, например, файлы логов, пользователей или конфигурации системы.

Impact (TA0040)
Data Destruction (T1485)
Lifecycle-Triggered Deletion (T1485.001)

RV-D-1538

Подбор пароля для привилегированного режима

Атакующие для получения доступа к привилегированному режиму S-Terra Gate могут попробовать подобрать пароль. Данное правило обнаруживает множественные неудачные попытки входа в привилегированный режим.

Brute Force (T1110)

RV-D-1539

Выдача максимальных привилегий для пользователя

Атакующие после получения доступа к системе S-Terra могут попробовать выдать максимальные привилегии в системе для пользователя, что позволит закрепиться на устройстве.

Privilege Escalation (TA0004)
Valid Accounts (T1078)
Local Accounts (T1078.003)
Account Manipulation (T1098)
Abuse Elevation Control Mechanism (T1548)

RV-D-1540

Настроена отправка логов на неизвестный узел

Атакующие после получения доступа к системе S-Terra могут изменить конфигурацию и установить отправку логов системы на другой неизвестный узел, тем самым отключить мониторинг устройства.

Execution (TA0002)
Command and Scripting Interpreter (T1059)
Network Device CLI (T1059.008)

Была ли полезна эта страница?