PT Application Firewall 4: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1505	Подбор пароля к форме авторизации	Правило осуществляет регистрацию оповещений на основании событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о неудачных попытках аутентификации в веб-приложении.	Credential Access (TA0006) Account Discovery (T1087) Local Account (T1087.001) Brute Force (T1110) Password Guessing (T1110.001) Password Spraying (T1110.003)
RV-D-1511	Множество атак на веб-ресурс	Правило осуществляет регистрацию оповещений на основании нескольких событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможных атаках на веб-приложение.	Initial Access (TA0001) Execution (TA0002) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Windows Command Shell (T1059.003) Unix Shell (T1059.004) Python (T1059.006) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003)
RV-D-1512	Атака на различные веб-ресурсы	Правило детектирует события Application Firewall Positive Technologies (PT AF), указывающие на атаки, направленные на несколько веб-приложений, что может свидетельствовать о массовой эксплуатации или поиске уязвимостей.	Initial Access (TA0001) Execution (TA0002) Command and Scripting Interpreter (T1059) PowerShell (T1059.001) Windows Command Shell (T1059.003) Unix Shell (T1059.004) Python (T1059.006) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003)
RV-D-1514	Атака с загрузкой файла	Правило осуществляет регистрацию оповещений на основании событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможной атаке File Upload при помощи защищаемого веб-приложения. Данный тип атаки направлен на последующее выполнение загруженного файла на сервере (например, через доступ к web-root) или использование его в качестве точки закрепления. Вредоносный файл в данном случае фактически передается на сервер и может быть сохранен в файловой системе.	Initial Access (TA0001) Persistence (TA0003) Command and Control (TA0011) Ingress Tool Transfer (T1105) Drive-by Compromise (T1189) Exploit Public-Facing Application (T1190) Server Software Component (T1505) Web Shell (T1505.003) Phishing for Information (T1598) Spearphishing Link (T1598.003)
RV-D-1515	Использование сканера уязвимостей	Правило детектирует события Application Firewall Positive Technologies (PT AF), указывающие на использование инструментов автоматизированного тестирования на проникновение, что может свидетельствовать о ранней стадии атаки.	Reconnaissance (TA0043) Initial Access (TA0001) Exploit Public-Facing Application (T1190) Active Scanning (T1595) Vulnerability Scanning (T1595.002)
RV-D-1518	Атака типа XSS	Обнаружение попыток эксплуатации уязвимости типа Cross-Site Scripting (XSS) на веб-приложении на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на внедрение вредоносного клиентского кода (чаще всего JavaScript) в веб-страницу, который выполняется в браузере жертвы.	Initial Access (TA0001) Command and Scripting Interpreter (T1059) JavaScript (T1059.007) Exploit Public-Facing Application (T1190)
RV-D-1520	Попытка эксплуатации уязвимостей	Правило осуществляет регистрацию оповещений на основе получения событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможной эксплуатации уязвимостей веб-приложения.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1521	Атака типа SSRF	Обнаружение попыток эксплуатации уязвимости типа Server-Side Request Forgery (SSRF) на основании событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак позволяет атакующему инициировать сетевые запросы от имени уязвимого веб-приложения к внутренним или внешним ресурсам.	Reconnaissance (TA0043) Initial Access (TA0001) Exploit Public-Facing Application (T1190) Active Scanning (T1595)
RV-D-1522	Атака типа CSRF	Обнаружение попыток эксплуатации уязвимости типа Cross-Site Request Forgery (CSRF) на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак позволяет атакующему инициировать нежелательные действия в веб-приложении от имени аутентифицированного пользователя без его ведома.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1524	Внедрение SQL-кода	Обнаружение попыток внедрения SQL-кода (SQL Injection) на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на внедрение вредоносных SQL-запросов в параметры веб-приложения с целью несанкционированного доступа к базе данных.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1525	Попытка удаленного выполнения кода	Обнаружение попыток удаленного выполнения кода (Remote Code Execution, RCE) на основании событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на выполнение произвольных команд или кода на сервере, на котором размещено веб-приложение.	Initial Access (TA0001) Execution (TA0002) Command and Scripting Interpreter (T1059) Exploit Public-Facing Application (T1190)
RV-D-1535	Атака на веб-ресурс	Обнаружение попыток атак на веб-приложение на основе событий от Application Firewall компании Positive Technologies (PT AF). Правило фиксирует различные типы вредоносной активности, направленной на веб-ресурс, включая эксплуатацию уязвимостей, сканирование, внедрение вредоносных данных и другие аномальные действия.	Reconnaissance (TA0043) Initial Access (TA0001) Exploit Public-Facing Application (T1190) Active Scanning (T1595)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1505

Подбор пароля к форме авторизации

Правило осуществляет регистрацию оповещений на основании событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о неудачных попытках аутентификации в веб-приложении.

Credential Access (TA0006)
Account Discovery (T1087)
Local Account (T1087.001)
Brute Force (T1110)
Password Guessing (T1110.001)
Password Spraying (T1110.003)

RV-D-1511

Множество атак на веб-ресурс

Правило осуществляет регистрацию оповещений на основании нескольких событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможных атаках на веб-приложение.

Initial Access (TA0001)
Execution (TA0002)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Windows Command Shell (T1059.003)
Unix Shell (T1059.004)
Python (T1059.006)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)

RV-D-1512

Атака на различные веб-ресурсы

Правило детектирует события Application Firewall Positive Technologies (PT AF), указывающие на атаки, направленные на несколько веб-приложений, что может свидетельствовать о массовой эксплуатации или поиске уязвимостей.

Initial Access (TA0001)
Execution (TA0002)
Command and Scripting Interpreter (T1059)
PowerShell (T1059.001)
Windows Command Shell (T1059.003)
Unix Shell (T1059.004)
Python (T1059.006)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)

RV-D-1514

Атака с загрузкой файла

Правило осуществляет регистрацию оповещений на основании событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможной атаке File Upload при помощи защищаемого веб-приложения. Данный тип атаки направлен на последующее выполнение загруженного файла на сервере (например, через доступ к web-root) или использование его в качестве точки закрепления. Вредоносный файл в данном случае фактически передается на сервер и может быть сохранен в файловой системе.

Initial Access (TA0001)
Persistence (TA0003)
Command and Control (TA0011)
Ingress Tool Transfer (T1105)
Drive-by Compromise (T1189)
Exploit Public-Facing Application (T1190)
Server Software Component (T1505)
Web Shell (T1505.003)
Phishing for Information (T1598)
Spearphishing Link (T1598.003)

RV-D-1515

Использование сканера уязвимостей

Правило детектирует события Application Firewall Positive Technologies (PT AF), указывающие на использование инструментов автоматизированного тестирования на проникновение, что может свидетельствовать о ранней стадии атаки.

Reconnaissance (TA0043)
Initial Access (TA0001)
Exploit Public-Facing Application (T1190)
Active Scanning (T1595)
Vulnerability Scanning (T1595.002)

RV-D-1518

Атака типа XSS

Обнаружение попыток эксплуатации уязвимости типа Cross-Site Scripting (XSS) на веб-приложении на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на внедрение вредоносного клиентского кода (чаще всего JavaScript) в веб-страницу, который выполняется в браузере жертвы.

Initial Access (TA0001)
Command and Scripting Interpreter (T1059)
JavaScript (T1059.007)
Exploit Public-Facing Application (T1190)

RV-D-1520

Попытка эксплуатации уязвимостей

Правило осуществляет регистрацию оповещений на основе получения событий от Application Firewall компании Positive Technologies (PT AF), сообщающих о возможной эксплуатации уязвимостей веб-приложения.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1521

Атака типа SSRF

Обнаружение попыток эксплуатации уязвимости типа Server-Side Request Forgery (SSRF) на основании событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак позволяет атакующему инициировать сетевые запросы от имени уязвимого веб-приложения к внутренним или внешним ресурсам.

Reconnaissance (TA0043)
Initial Access (TA0001)
Exploit Public-Facing Application (T1190)
Active Scanning (T1595)

RV-D-1522

Атака типа CSRF

Обнаружение попыток эксплуатации уязвимости типа Cross-Site Request Forgery (CSRF) на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак позволяет атакующему инициировать нежелательные действия в веб-приложении от имени аутентифицированного пользователя без его ведома.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1524

Внедрение SQL-кода

Обнаружение попыток внедрения SQL-кода (SQL Injection) на основе событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на внедрение вредоносных SQL-запросов в параметры веб-приложения с целью несанкционированного доступа к базе данных.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1525

Попытка удаленного выполнения кода

Обнаружение попыток удаленного выполнения кода (Remote Code Execution, RCE) на основании событий от Application Firewall компании Positive Technologies (PT AF). Данный тип атак направлен на выполнение произвольных команд или кода на сервере, на котором размещено веб-приложение.

Initial Access (TA0001)
Execution (TA0002)
Command and Scripting Interpreter (T1059)
Exploit Public-Facing Application (T1190)

RV-D-1535

Атака на веб-ресурс

Обнаружение попыток атак на веб-приложение на основе событий от Application Firewall компании Positive Technologies (PT AF). Правило фиксирует различные типы вредоносной активности, направленной на веб-ресурс, включая эксплуатацию уязвимостей, сканирование, внедрение вредоносных данных и другие аномальные действия.

Reconnaissance (TA0043)
Initial Access (TA0001)
Exploit Public-Facing Application (T1190)
Active Scanning (T1595)

Была ли полезна эта страница?