Cisco IOS: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1657

Конфигурация Cisco IOS с недоверенного IP-адреса

Правило детектирует изменение настроек Cisco IOS с недоверенного IP-адреса.

RV-D-1668

Подбор пароля на Cisco IOS методом Password Spraying

Правило обнаруживает неудачные попытки аутентификации с разными учетными записями на одном устройстве. Данная активность может указывать на попытки аутентификации атакующего методом Password Spraying.

RV-D-1669

Подбор пароля к устройству с ОС Cisco IOS

Правило обнаруживает неудачные попытки аутентификации одной учетной записи на устройстве. Данная активность может указывать на попытки аутентификации атакующего методом Bruteforce.

RV-D-1672

Успешный подбор пароля к устройству с ОС Cisco IOS

Правило детектирует успешный вход на устройство с операционной системой Cisco IOS после нескольких неудачных попыток аутентификации. Данная активность может указывать на попытки аутентификации атакующего методом Bruteforce.

RV-D-1691

Вход администратора на устройство Cisco IOS с неизвестного хоста

Правило детектирует вход на устройство с операционной системой Cisco IOS привилегированного пользователя с неизвестного хоста.

RV-D-1719

Потенциальная атака VLAN Hopping на устройстве Cisco IOS

Правило срабатывает при обнаружении на устройстве Cisco IOS событий, характерных для атаки VLAN Hopping (изменение порта в транковый режим, ошибки создания VLAN, несовпадение PVID). Это может указывать на попытку атакующего нарушить сетевую сегментацию и переместиться между VLAN.

  • Initial Access (TA0001)

  • Lateral Movement (TA0008)

  • Exploitation of Remote Services (T1210)

  • Remote Service Session Hijacking (T1563)

  • RDP Hijacking (T1563.002)

RV-D-1720

Потенциальная атака MAC-flooding на устройстве Cisco IOS

Правило срабатывает при нарушении политики Port Security на устройстве Cisco IOS (превышение допустимого числа MAC-адресов на порте). Это может указывать на попытку атаки MAC-flooding с целью переполнения MAC-таблицы и последующего перехвата трафика.

RV-D-1722

Вход в привилегированный режим Cisco IOS с недоверенного IP-адреса

Правило срабатывает при входе пользователя в привилегированный режим (enable) на устройстве Cisco IOS с IP-адреса, не входящего в список разрешенных для этой учетной записи. Это может указывать на использование скомпрометированных учетных данных для получения полного контроля над сетевым оборудованием.

Была ли полезна эта страница?

Обратная связь