Cisco IOS: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1657 |
Конфигурация Cisco IOS с недоверенного IP-адреса |
Правило детектирует изменение настроек Cisco IOS с недоверенного IP-адреса. |
|
RV-D-1668 |
Подбор пароля на Cisco IOS методом Password Spraying |
Правило обнаруживает неудачные попытки аутентификации с разными учетными записями на одном устройстве. Данная активность может указывать на попытки аутентификации атакующего методом Password Spraying. |
|
RV-D-1669 |
Подбор пароля к устройству с ОС Cisco IOS |
Правило обнаруживает неудачные попытки аутентификации одной учетной записи на устройстве. Данная активность может указывать на попытки аутентификации атакующего методом Bruteforce. |
|
RV-D-1672 |
Успешный подбор пароля к устройству с ОС Cisco IOS |
Правило детектирует успешный вход на устройство с операционной системой Cisco IOS после нескольких неудачных попыток аутентификации. Данная активность может указывать на попытки аутентификации атакующего методом Bruteforce. |
|
RV-D-1691 |
Вход администратора на устройство Cisco IOS с неизвестного хоста |
Правило детектирует вход на устройство с операционной системой Cisco IOS привилегированного пользователя с неизвестного хоста. |
|
RV-D-1719 |
Потенциальная атака VLAN Hopping на устройстве Cisco IOS |
Правило срабатывает при обнаружении на устройстве Cisco IOS событий, характерных для атаки VLAN Hopping (изменение порта в транковый режим, ошибки создания VLAN, несовпадение PVID). Это может указывать на попытку атакующего нарушить сетевую сегментацию и переместиться между VLAN. |
|
RV-D-1720 |
Потенциальная атака MAC-flooding на устройстве Cisco IOS |
Правило срабатывает при нарушении политики Port Security на устройстве Cisco IOS (превышение допустимого числа MAC-адресов на порте). Это может указывать на попытку атаки MAC-flooding с целью переполнения MAC-таблицы и последующего перехвата трафика. |
|
RV-D-1722 |
Вход в привилегированный режим Cisco IOS с недоверенного IP-адреса |
Правило срабатывает при входе пользователя в привилегированный режим (enable) на устройстве Cisco IOS с IP-адреса, не входящего в список разрешенных для этой учетной записи. Это может указывать на использование скомпрометированных учетных данных для получения полного контроля над сетевым оборудованием. |
Была ли полезна эта страница?