Microsoft Hyper-V: правила корреляции
Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.
| ID правила | Название правила | Описание | Тактики и техники |
|---|---|---|---|
RV-D-1631 |
Отключено несколько виртуальных средств защиты |
После получения доступа к инфраструктуре виртуализации атакующие могут отключить несколько виртуальных машин, на которых размещены средства защиты, чтобы нарушить мониторинг, сетевую фильтрацию или работу сервисов безопасности. Правило обнаруживает выключение трех и более виртуальных средств защиты Hyper-V за короткий период времени по данным из списка protective_vm_assets_cimv2. |
|
RV-D-1634 |
Отключена защитная виртуальная машина |
После получения доступа к инфраструктуре виртуализации атакующие могут отключить виртуальную машину, на которой размещены защитные средства, чтобы нарушить мониторинг, сетевую фильтрацию или работу сервисов безопасности. Правило обнаруживает выключение защитной виртуальной машины Hyper-V по данным из списка protective_vm_assets_cimv2. |
|
RV-D-1635 |
Клонирование критичной виртуальной машины Hyper-V |
После получения доступа к инфраструктуре виртуализации атакующие могут клонировать или иным образом копировать одну или несколько виртуальных машин, чтобы получить доступ к конфиденциальным данным, учетным записям пользователей, использовать их для дальнейшего перемещения по сети или закрепления в системе. Правило использует событие успешного экспорта как признак копирования критичной виртуальной машины Hyper-V по данным из списка critical_vm_assets_cimv2. |
|
RV-D-1638 |
Массовая приостановка виртуальных машин |
Большое количество событий приостановки виртуальных машин Hyper-V за короткий период времени может указывать на масштабный сбой инфраструктуры виртуализации, деструктивное воздействие на гипервизор или попытку нарушить доступность рабочих нагрузок. |
|
RV-D-1642 |
Удалено несколько критичных/защитных ВМ |
Несколько виртуальных машин, важных с точки зрения ИБ и/или содержащих виртуальные средства защиты, могут быть удалены в короткий промежуток времени при компрометации инфраструктуры Hyper-V. Такое поведение может указывать на попытку скрыть следы атаки, нарушить доступность сервисов или получить контроль над критичными данными. |
Была ли полезна эта страница?