Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mitre_attck_collection: PT-CR-500: Documents_Access_Via_Console: Взаимодействие с документами Office через cmd.exe или PowerShell profiling: PT-CR-2204: Critical_File_Access: Пользователь получил доступ к критически важному файлу netflow: PT-CR-2919: Netflow_Large_File_Transfer: Большой объем данных отправлен с узла. Это может быть признаком сбора данных с узла netflow: PT-CR-2920: Netflow_SMB_Anomaly: Подозрительный SMB-трафик c узла, не являющегося контроллером домена, маршрутизатором или коммутатором. Злоумышленники могут использовать протокол SMB для дальнейшего проникновения в сеть и получения доступа к конфиденциальным данным sap_attack_detection: PT-CR-162: SAPASABAP_View_Critical_Tables: Просмотр критически важной таблицы в SAP sap_attack_detection: PT-CR-153: SAPASABAP_Download_Critical_Info: Выгрузка в файл критически важной информации sap_suspicious_user_activity: PT-CR-236: SAPASABAP_Download_Bytes: Скачивание данных sap_suspicious_user_activity: PT-CR-237: SAPASABAP_Download_Bytes_period: Скачивание данных clickhouse: PT-CR-1562: ClickHouse_Pattern_Search: Обнаружена попытка поиска по регулярному выражению в названиях таблиц и столбцов mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" elasticsearch: PT-CR-2733: Elasticsearch_Upload_Backup: Резервная копия базы данных Elasticsearch передана на удаленный узел mongo_database: PT-CR-529: MongoDB_Dump_Database: Попытка создать резервную копию базы данных mongo_database: PT-CR-528: MongoDB_Dump_Collection: Попытка создать резервную копию коллекции mysql_database: PT-CR-2304: MySQL_File_System_Actions: Взаимодействие базы данных MySQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity mssql_database: PT-CR-418: MSSQL_Pattern_Search_Usage: Попытка получить информацию из служебных таблиц базы данных с использованием шаблона vsphere_suspicious_user_activity: PT-CR-515: Downloading_Files_Of_Critical_VM: Скопированы файлы с виртуальной машины, важной с точки зрения ИБ capabilities_data_access: PT-CR-2883: CAP_Access_to_Sensitive_Data: Доступ к файлу со значимой информацией в прикладном ПО. Злоумышленник, который имеет доступ к таким данным, может нарушить их конфиденциальность, целостность или доступность capabilities_data_access: PT-CR-2900: CAP_Access_To_Sensitive_Database: Обращение к значимым базам данных. Злоумышленник может извлечь, изменить или удалить конфиденциальные данные, используя украденные учетные данные, уязвимости в системе или вредоносные запросы vulnerabilities: PT-CR-2405: CVE_2024_24919_CheckPoint_Information_Disclosure: Эксплуатация уязвимости CVE-2024-24919, которая позволяет злоумышленникам читать любые файлы на устройствах межсетевого экранирования Check Point без авторизации. Уязвимость содержится в продуктах Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access unix_mitre_attck_collection: PT-CR-1684: Unix_Suspicious_Home_Read: Чтение файла из домашнего каталога другого пользователя unix_mitre_attck_collection: PT-CR-1685: Unix_Sensitive_File_Read: Чтение чувствительных файлов Unix