Solar webProxy: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1542	Создание нового пользователя в Solar Web Proxy	Атакующие после получения доступа к Solar Web Proxy могут попробовать закрепиться в системе с помощью создания нового пользователя.	Persistence (TA0003) Create Account (T1136) Local Account (T1136.001) Domain Account (T1136.002)
RV-D-1543	Вход привилегированной учетной записи с неизвестного IP в SWP	После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. Данное правило позволяет фиксировать подключения под привилегированными учетными записями с неизвестных источников.	Initial Access (TA0001) Valid Accounts (T1078) Domain Accounts (T1078.002) Local Accounts (T1078.003)
RV-D-1547	Изменение критичных ролей Solar Web Proxy	После получения доступа к системе Solar Web Proxy атакующие могут создать новую роль с привилегированными правами на редактирование параметров системы или добавить критичные права для существующей группы для дальнейшего развития атаки.	Persistence (TA0003) Account Manipulation (T1098)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1542

Создание нового пользователя в Solar Web Proxy

Атакующие после получения доступа к Solar Web Proxy могут попробовать закрепиться в системе с помощью создания нового пользователя.

Persistence (TA0003)
Create Account (T1136)
Local Account (T1136.001)
Domain Account (T1136.002)

RV-D-1543

Вход привилегированной учетной записи с неизвестного IP в SWP

После получения доступа к привилегированной учетной записи атакующие, используя эту запись, могут зайти на сервер с повышенными правами для проведения дальнейших деструктивных действий. Данное правило позволяет фиксировать подключения под привилегированными учетными записями с неизвестных источников.

Initial Access (TA0001)
Valid Accounts (T1078)
Domain Accounts (T1078.002)
Local Accounts (T1078.003)

RV-D-1547

Изменение критичных ролей Solar Web Proxy

После получения доступа к системе Solar Web Proxy атакующие могут создать новую роль с привилегированными правами на редактирование параметров системы или добавить критичные права для существующей группы для дальнейшего развития атаки.

Persistence (TA0003)
Account Manipulation (T1098)

Была ли полезна эта страница?