Solar webProxy: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1542	Создание нового пользователя в Solar Web Proxy	Атакующие после получения доступа к Solar Web Proxy могут попробовать закрепиться в системе с помощью создания нового пользователя.	Persistence (TA0003) Create Account (T1136) Local Account (T1136.001) Domain Account (T1136.002)
RV-D-1543	Вход привилегированной учетной записи с неизвестного IP в SWP	После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. Данное правило позволяет фиксировать подключения под привилегированными учетными записями с неизвестных источников.	Initial Access (TA0001) Valid Accounts (T1078) Domain Accounts (T1078.002) Local Accounts (T1078.003)
RV-D-1544	Изменены параметры внешних подключений на Solar Web Proxy	После получения доступа к системе Solar Web Proxy, атакующие могут изменить параметры внешних подключений для изменения или удаления `proxy` или `ICAP` серверов для проведения дальнейших деструктивных действий.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1547	Изменение критичных ролей Solar Web Proxy	После получения доступа к системе Solar Web Proxy атакующие могут создать новую роль с привилегированными правами на редактирование параметров системы или добавить критичные права для существующей группы для дальнейшего развития атаки.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1573	Изменение правил межсетевого экранирования и доступа в Solar Web Proxy	После получения доступа к системе Solar Web Proxy атакующие могут изменить, добавить или удалить правила для политик SWP, тем самым изменить правила доступа, фильтрации трафика, маршрутизации соединений и другие, что может позволить продолжить перемещение по сети.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001) Disable or Modify System Firewall (T1562.004)
RV-D-1578	Изменены критичные параметры системы Solar Web Proxy	Правило выявляет факты модификации критических параметров конфигурации на сервере Solar Web Proxy. После успешной компрометации административного доступа атакующие могут целенаправленно изменять системные настройки для снижения уровня защищенности инфраструктуры и сокрытия дальнейших вредоносных действий. Подобные изменения конфигурации направлены на создание слепых зон для средств детектирования, что позволяет атакующим организовать скрытые каналы связи с внешними управляющими серверами, беспрепятственно осуществлять эксфильтрацию данных и обходить корпоративные политики веб-фильтрации.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1683	Изменены параметры учетной записи на Solar Web Proxy	Атакующие после получения доступа к Solar Web Proxy могут попробовать изменить параметры учетной записи, чтобы выдать дополнительные привилегии, сменить пароль или создать новую учетную запись и после добавить ей роли и привилегии для последующих деструктивных действий или закрепления в системе.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1685	Множественные неуспешные попытки аутентификации на системе SWP	Атакующие для получения доступа к Solar Web Proxy могут попробовать подобрать пароль к учетной записи. Данное правило обнаруживает множественные неудачные попытки входа из-под одного пользователя. В событиях неудачного входа SWP не пишется источник, который инициировал соединение, поэтому в активном списке `brute_legit_host_cimv2` исключать можно только по учетной записи и хосту-источнику событий.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1688	Успешный подбор пароля пользователя на Solar Web Proxy	Для получения доступа к системе Solar Web Proxy атакующие могут попробовать подобрать пароль для учетной записи. Данное правило обнаруживает успешный вход пользователя после множества попыток неудачной аутентификации.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)

RV-D-1542

Создание нового пользователя в Solar Web Proxy

Атакующие после получения доступа к Solar Web Proxy могут попробовать закрепиться в системе с помощью создания нового пользователя.

Persistence (TA0003)
Create Account (T1136)
Local Account (T1136.001)
Domain Account (T1136.002)

RV-D-1543

Вход привилегированной учетной записи с неизвестного IP в SWP

После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. Данное правило позволяет фиксировать подключения под привилегированными учетными записями с неизвестных источников.

Initial Access (TA0001)
Valid Accounts (T1078)
Domain Accounts (T1078.002)
Local Accounts (T1078.003)

RV-D-1544

Изменены параметры внешних подключений на Solar Web Proxy

После получения доступа к системе Solar Web Proxy, атакующие могут изменить параметры внешних подключений для изменения или удаления proxy или ICAP серверов для проведения дальнейших деструктивных действий.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1547

Изменение критичных ролей Solar Web Proxy

После получения доступа к системе Solar Web Proxy атакующие могут создать новую роль с привилегированными правами на редактирование параметров системы или добавить критичные права для существующей группы для дальнейшего развития атаки.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1573

Изменение правил межсетевого экранирования и доступа в Solar Web Proxy

После получения доступа к системе Solar Web Proxy атакующие могут изменить, добавить или удалить правила для политик SWP, тем самым изменить правила доступа, фильтрации трафика, маршрутизации соединений и другие, что может позволить продолжить перемещение по сети.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)
Disable or Modify System Firewall (T1562.004)

RV-D-1578

Изменены критичные параметры системы Solar Web Proxy

Правило выявляет факты модификации критических параметров конфигурации на сервере Solar Web Proxy. После успешной компрометации административного доступа атакующие могут целенаправленно изменять системные настройки для снижения уровня защищенности инфраструктуры и сокрытия дальнейших вредоносных действий. Подобные изменения конфигурации направлены на создание слепых зон для средств детектирования, что позволяет атакующим организовать скрытые каналы связи с внешними управляющими серверами, беспрепятственно осуществлять эксфильтрацию данных и обходить корпоративные политики веб-фильтрации.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1683

Изменены параметры учетной записи на Solar Web Proxy

Атакующие после получения доступа к Solar Web Proxy могут попробовать изменить параметры учетной записи, чтобы выдать дополнительные привилегии, сменить пароль или создать новую учетную запись и после добавить ей роли и привилегии для последующих деструктивных действий или закрепления в системе.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1685

Множественные неуспешные попытки аутентификации на системе SWP

Атакующие для получения доступа к Solar Web Proxy могут попробовать подобрать пароль к учетной записи. Данное правило обнаруживает множественные неудачные попытки входа из-под одного пользователя. В событиях неудачного входа SWP не пишется источник, который инициировал соединение, поэтому в активном списке brute_legit_host_cimv2 исключать можно только по учетной записи и хосту-источнику событий.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1688

Успешный подбор пароля пользователя на Solar Web Proxy

Для получения доступа к системе Solar Web Proxy атакующие могут попробовать подобрать пароль для учетной записи. Данное правило обнаруживает успешный вход пользователя после множества попыток неудачной аутентификации.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

Была ли полезна эта страница?