UserGate NGFW: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1725 |
Срабатывание СОВ UserGate NGFW |
Правило выявляет срабатывание сигнатуры СОВ/IDPS UserGate NGFW. Событие может указывать на попытку сетевой атаки, эксплуатации уязвимости, сканирования или иную аномальную активность в трафике, обработанном профилем СОВ. |
|
RV-D-1727 |
Сканирование портов UserGate NGFW |
Правило выявляет возможное сканирование портов по событиям UserGate NGFW, когда один источник получает множественные отказы межсетевого экрана при обращении к разным TCP-портам одного назначения. Такая активность может указывать на разведку доступных сетевых сервисов перед дальнейшей атакой. |
|
RV-D-1729 |
Перебор паролей UserGate NGFW |
Правило выявляет множественные неудачные попытки входа в административную консоль UserGate NGFW под одной учетной записью с одного IP-адреса. Такая активность может указывать на попытку перебора пароля к учетной записи администратора межсетевого экрана. |
|
RV-D-1730 |
Успешный перебор паролей UserGate NGFW |
Правило выявляет успешный вход в административную консоль UserGate NGFW после серии неудачных попыток входа под той же учетной записью с того же IP-адреса. Такая последовательность может указывать на успешный подбор пароля и компрометацию административной учетной записи межсетевого экрана. |
|
RV-D-1731 |
Изменение правила МЭ UserGate |
Правило отслеживает изменение правила межсетевого экрана в административной консоли UserGate NGFW. Такие действия могут быть штатным администрированием, но при компрометации учетной записи позволяют ослабить сетевую фильтрацию, открыть доступ к внутренним ресурсам или скрыть дальнейшую активность атакующего. |
|
RV-D-1735 |
Изменение администратора UserGate |
Правило отслеживает создание или удаление административной учетной записи в UserGate NGFW. Такие действия могут быть штатным администрированием, но при компрометации учетной записи позволяют атакующему закрепиться в административной консоли или скрыть следы за счет удаления учетных записей. |
Была ли полезна эта страница?