MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1005: Данные из локальной системы

Перед эксфильтрацией злоумышленники могут искать интересующие их файлы или конфиденциальные данные в локальных источниках (например, в системных и конфигурационных файлах или локальных базах данных).

Для этого злоумышленники могут использовать интерпретаторы командной строки и сценариев, например cmd, а также интерпретаторы командной строки сетевых устройств, которые имеют функции взаимодействия с файловой системой для сбора информации. Кроме того, злоумышленники могут использовать автоматизированный сбор данных в локальной системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil"
mitre_attck_collection: PT-CR-500: Documents_Access_via_Console: Взаимодействие с документами Office через cmd.exe или PowerShell
vsphere_suspicious_user_activity: PT-CR-515: Downloading_files_of_critical_VM: Скопированы файлы с виртуальной машины, важной с точки зрения ИБ
supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
sap_suspicious_user_activity: PT-CR-236: SAPASABAP_Download_bytes: Скачивание данных
sap_suspicious_user_activity: PT-CR-237: SAPASABAP_Download_bytes_period: Скачивание данных
vulnerabilities: PT-CR-2405: CVE_2024_24919_CheckPoint_Information_Disclosure: Эксплуатация уязвимости CVE-2024-24919, которая позволяет злоумышленникам читать любые файлы на устройствах межсетевого экранирования Check Point без авторизации. Уязвимость содержится в продуктах Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access
unix_mitre_attck_collection: PT-CR-1684: Unix_Suspicious_Home_Read: Чтение файла из домашнего каталога другого пользователя
unix_mitre_attck_collection: PT-CR-1685: Unix_Sensitive_File_Read: Чтение чувствительных файлов Unix
mssql_database: PT-CR-418: MSSQL_pattern_search_usage: Попытка получить информацию из служебных таблиц базы данных с использованием шаблона
mongo_database: PT-CR-528: MongoDB_dump_collection: Попытка создать резервную копию коллекции
mongo_database: PT-CR-529: MongoDB_dump_database: Попытка создать резервную копию базы данных
clickhouse: PT-CR-1562: ClickHouse_pattern_search: Обнаружена попытка поиска по регулярному выражению в названиях таблиц и столбцов
sap_attack_detection: PT-CR-153: SAPASABAP_Download_critical_info: Выгрузка в файл критически важной информации
sap_attack_detection: PT-CR-162: SAPASABAP_View_critical_tables: Просмотр критически важной таблицы в SAP
profiling: PT-CR-2204: Critical_File_Access: Пользователь получил доступ к критически важному файлу

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. Сбор данных также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте нетипичные/аномальные попытки доступа к файлам — так злоумышленники могут собирать данные с локальной системы, включая файлы пользователей (.pdf, .docx, .jpg и пр.) и локальные базы данных.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут искать файлы или конфиденциальные данные в локальных источниках (например, в файловых системах или локальных базах данных) перед их эксфильтрацией.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых злоумышленники могут искать файлы или конфиденциальные данные в локальных источниках (например, в файловых системах или локальных базах данных) перед их эксфильтрацией.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска в локальных источниках (например, в системных файлах или локальных базах данных) интересующих файлов или конфиденциальных данных перед их эксфильтрацией. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных. Сбор данных также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell.

На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.

Меры противодействия

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных может помочь ограничить доступ к конфиденциальным данным и обнаружить незашифрованные конфиденциальные данные.