UserGate NGFW: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1725

Срабатывание СОВ UserGate NGFW

Правило выявляет срабатывание сигнатуры СОВ/IDPS UserGate NGFW. Событие может указывать на попытку сетевой атаки, эксплуатации уязвимости, сканирования или иную аномальную активность в трафике, обработанном профилем СОВ.

  • Reconnaissance (TA0043)

  • Initial Access (TA0001)

  • Exploit Public-Facing Application (T1190)

  • Active Scanning (T1595)

RV-D-1727

Сканирование портов UserGate NGFW

Правило выявляет возможное сканирование портов по событиям UserGate NGFW, когда один источник получает множественные отказы межсетевого экрана при обращении к разным TCP-портам одного назначения. Такая активность может указывать на разведку доступных сетевых сервисов перед дальнейшей атакой.

RV-D-1729

Перебор паролей UserGate NGFW

Правило выявляет множественные неудачные попытки входа в административную консоль UserGate NGFW под одной учетной записью с одного IP-адреса. Такая активность может указывать на попытку перебора пароля к учетной записи администратора межсетевого экрана.

RV-D-1730

Успешный перебор паролей UserGate NGFW

Правило выявляет успешный вход в административную консоль UserGate NGFW после серии неудачных попыток входа под той же учетной записью с того же IP-адреса. Такая последовательность может указывать на успешный подбор пароля и компрометацию административной учетной записи межсетевого экрана.

RV-D-1731

Изменение правила МЭ UserGate

Правило отслеживает изменение правила межсетевого экрана в административной консоли UserGate NGFW. Такие действия могут быть штатным администрированием, но при компрометации учетной записи позволяют ослабить сетевую фильтрацию, открыть доступ к внутренним ресурсам или скрыть дальнейшую активность атакующего.

RV-D-1735

Изменение администратора UserGate

Правило отслеживает создание или удаление административной учетной записи в UserGate NGFW. Такие действия могут быть штатным администрированием, но при компрометации учетной записи позволяют атакующему закрепиться в административной консоли или скрыть следы за счет удаления учетных записей.

Была ли полезна эта страница?

Обратная связь