Microsoft Hyper-V: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

RV-D-1631

Отключено несколько виртуальных средств защиты

После получения доступа к инфраструктуре виртуализации атакующие могут отключить несколько виртуальных машин, на которых размещены средства защиты, чтобы нарушить мониторинг, сетевую фильтрацию или работу сервисов безопасности. Правило обнаруживает выключение трех и более виртуальных средств защиты Hyper-V за короткий период времени по данным из списка protective_vm_assets_cimv2.

RV-D-1634

Отключена защитная виртуальная машина

После получения доступа к инфраструктуре виртуализации атакующие могут отключить виртуальную машину, на которой размещены защитные средства, чтобы нарушить мониторинг, сетевую фильтрацию или работу сервисов безопасности. Правило обнаруживает выключение защитной виртуальной машины Hyper-V по данным из списка protective_vm_assets_cimv2.

RV-D-1635

Клонирование критичной виртуальной машины Hyper-V

После получения доступа к инфраструктуре виртуализации атакующие могут клонировать или иным образом копировать одну или несколько виртуальных машин, чтобы получить доступ к конфиденциальным данным, учетным записям пользователей, использовать их для дальнейшего перемещения по сети или закрепления в системе. Правило использует событие успешного экспорта как признак копирования критичной виртуальной машины Hyper-V по данным из списка critical_vm_assets_cimv2.

RV-D-1638

Массовая приостановка виртуальных машин

Большое количество событий приостановки виртуальных машин Hyper-V за короткий период времени может указывать на масштабный сбой инфраструктуры виртуализации, деструктивное воздействие на гипервизор или попытку нарушить доступность рабочих нагрузок.

RV-D-1642

Удалено несколько критичных/защитных ВМ

Несколько виртуальных машин, важных с точки зрения ИБ и/или содержащих виртуальные средства защиты, могут быть удалены в короткий промежуток времени при компрометации инфраструктуры Hyper-V. Такое поведение может указывать на попытку скрыть следы атаки, нарушить доступность сервисов или получить контроль над критичными данными.

Была ли полезна эта страница?

Обратная связь