Eltex vESR: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1575	Подбор пароля к маршрутизатору Eltex vESR	Правило обнаруживает потенциальный перебор пароля для учетной записи на устройстве по SSH.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1577	Успешный подбор пароля к маршрутизатору Eltex vESR	Правило детектирует потенциальный перебор паролей для учетной записи на устройстве с последующим успешным входом по SSH.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1579	Атака Password Spraying на Eltex vESR	Правило обнаруживает ошибки аутентификации с разными учетными записями на одном устройстве в течение 5 минут.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1580	Вход привилегированного пользователя на Eltex vESR с неизвестного хоста	Правило детектирует вход на устройство Eltex vESR привилегированного пользователя с неизвестного хоста.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1584	Срабатывание функции защиты на Eltex vESR	Обнаружение срабатывания встроенных механизмов защиты маршрутизатора Eltex vESR, направленных на выявление и блокировку аномального или потенциально вредоносного сетевого трафика.	Initial Access (TA0001) Persistence (TA0003) Privilege Escalation (TA0004) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1589	Отключение межсетевого экрана на Eltex vESR	Отключение межсетевого экрана на маршрутизаторе Eltex vESR может свидетельствовать о попытке обхода механизмов защиты и снижении уровня безопасности сети. Данное правило обнаруживает изменения конфигурации, приводящие к отключению функций фильтрации трафика или деактивации правил межсетевого экрана.	Defense Evasion (TA0005) Impact (TA0040) Impair Defenses (T1562) Disable or Modify System Firewall (T1562.004)
RV-D-1593	Создание пользователя на Eltex vESR	Атакующий, получив доступ к устройству, может создать новую учетную запись (в том числе с повышенными привилегиями) для сохранения доступа, обхода контроля и дальнейшего развития атаки. В случае отсутствия подтвержденной административной активности это может указывать на компрометацию учетных данных или самого устройства.	Persistence (TA0003) Privilege Escalation (TA0004) Create Account (T1136) Local Account (T1136.001)
RV-D-1597	Журналирование отключено на Eltex vESR	Отключение журналирования на маршрутизаторе Eltex vESR может свидетельствовать о попытке скрыть следы активности и затруднить последующее расследование инцидентов. Данное правило обнаруживает изменения конфигурации, приводящие к отключению или модификации механизмов логирования на устройстве.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable Windows Event Logging (T1562.002)
RV-D-1598	Изменение парольной политики на Eltex vESR	Изменение парольной политики на маршрутизаторе Eltex vESR может свидетельствовать о попытке ослабления механизмов контроля доступа и повышения вероятности несанкционированного входа. Данное правило обнаруживает изменения конфигурации, связанные с переключением методов аутентификации.	Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Modify Authentication Process (T1556)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1575

Подбор пароля к маршрутизатору Eltex vESR

Правило обнаруживает потенциальный перебор пароля для учетной записи на устройстве по SSH.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1577

Успешный подбор пароля к маршрутизатору Eltex vESR

Правило детектирует потенциальный перебор паролей для учетной записи на устройстве с последующим успешным входом по SSH.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1579

Атака Password Spraying на Eltex vESR

Правило обнаруживает ошибки аутентификации с разными учетными записями на одном устройстве в течение 5 минут.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1580

Вход привилегированного пользователя на Eltex vESR с неизвестного хоста

Правило детектирует вход на устройство Eltex vESR привилегированного пользователя с неизвестного хоста.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1584

Срабатывание функции защиты на Eltex vESR

Обнаружение срабатывания встроенных механизмов защиты маршрутизатора Eltex vESR, направленных на выявление и блокировку аномального или потенциально вредоносного сетевого трафика.

Initial Access (TA0001)
Persistence (TA0003)
Privilege Escalation (TA0004)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1589

Отключение межсетевого экрана на Eltex vESR

Отключение межсетевого экрана на маршрутизаторе Eltex vESR может свидетельствовать о попытке обхода механизмов защиты и снижении уровня безопасности сети. Данное правило обнаруживает изменения конфигурации, приводящие к отключению функций фильтрации трафика или деактивации правил межсетевого экрана.

Defense Evasion (TA0005)
Impact (TA0040)
Impair Defenses (T1562)
Disable or Modify System Firewall (T1562.004)

RV-D-1593

Создание пользователя на Eltex vESR

Атакующий, получив доступ к устройству, может создать новую учетную запись (в том числе с повышенными привилегиями) для сохранения доступа, обхода контроля и дальнейшего развития атаки. В случае отсутствия подтвержденной административной активности это может указывать на компрометацию учетных данных или самого устройства.

Persistence (TA0003)
Privilege Escalation (TA0004)
Create Account (T1136)
Local Account (T1136.001)

RV-D-1597

Журналирование отключено на Eltex vESR

Отключение журналирования на маршрутизаторе Eltex vESR может свидетельствовать о попытке скрыть следы активности и затруднить последующее расследование инцидентов. Данное правило обнаруживает изменения конфигурации, приводящие к отключению или модификации механизмов логирования на устройстве.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable Windows Event Logging (T1562.002)

RV-D-1598

Изменение парольной политики на Eltex vESR

Изменение парольной политики на маршрутизаторе Eltex vESR может свидетельствовать о попытке ослабления механизмов контроля доступа и повышения вероятности несанкционированного входа. Данное правило обнаруживает изменения конфигурации, связанные с переключением методов аутентификации.

Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Modify Authentication Process (T1556)

Была ли полезна эта страница?