Экспертиза MaxPatrol SIEM

unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра netflow: PT-CR-2903: Netflow_UDP_Stealth_Port_Scan: Cкрытое UDP-сканирование: множество сетевых потоков отправлено по UDP-протоколу с одного порта одного узла на разные порты другого узла netflow: PT-CR-2913: Netflow_TCP_Reset_Flag: Отправлен TCP-пакет с установленным флагом RST (Reset). Такие пакеты отправляются при разрыве или возникновении проблем с TCP-соединением, а также когда порт закрыт или недоступен. Если закрытыми или недоступными оказываются несколько портов, это признак сканирования сети netflow: PT-CR-2906: Netflow_TCP_Stealth_Port_Scan: Cкрытое TCP-сканирование: множество сетевых потоков отправлено по TCP-протоколу с одного порта одного узла на разные порты другого узла netflow: PT-CR-2918: Netflow_Host_Scan: Узел просканирован по протоколу UDP или TCP netflow: PT-CR-2911: Netflow_UDP_TCP_Network_Scan: Узел просканировал один TCP- или UDP-порт на разных узлах сети. Если сканирование производилось по протоколу TCP, открытый порт отправит пакет с флагами ACK и SYN на узел, с которого производилось сканирование netflow: PT-CR-2920: Netflow_SMB_Anomaly: Подозрительный SMB-трафик c узла, не являющегося контроллером домена, маршрутизатором или коммутатором. Злоумышленники могут использовать протокол SMB для дальнейшего проникновения в сеть и получения доступа к конфиденциальным данным netflow: PT-CR-2908: Netflow_ICMP_SCTP_Ping_Scan: Пинг-сканирование по протоколу ICMP или SCTP. Пинг-сканирование — это способ разведки на ранних этапах подготовки к атаке. В отличие от обычного сканирования, пинг-сканирование ограничивается поиском любого доступного узла в инфраструктуре netflow: PT-CR-2917: Netflow_Flow_Deny: Потоки данных заблокированы межсетевым экраном. Это может быть признаком сканирования сети postgresql_database: PT-CR-1834: PostgreSQL_Port_Scan: Злоумышленник может сканировать внутренние узлы инфраструктуры с помощью штатных функций базы данных hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки active_directory_certificate_services_attacks: PT-CR-828: ADCS_Recon: Выполнен LDAP-запрос на поиск в сети серверов сертификатов. Злоумышленники могут использовать AD CS для кражи учетных данных и закрепления в системе mitre_attck_discovery: PT-CR-590: Port_Scan_From_Localnet_To_Different_Hosts: Обнаружена попытка просканировать множество портов нескольких узлов mitre_attck_discovery: PT-CR-326: Network_Service_Discovery_From_Localnet: Обнаружена попытка просканировать определенные порты (22, 21, 23, 135, 445, 1433, 1434, 3306, 3389, 5800, 5900, 5958, 5986) нескольких узлов mitre_attck_discovery: PT-CR-327: Port_Scan_From_Localnet_To_Single_Host: Обнаружена попытка получить список открытых портов узла mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра network_devices_compromise: PT-CR-573: MikroTik_Winbox_Untrusted_Connection: Обнаружена попытка подключения к устройству MikroTik с помощью утилиты WinBox с недоверенного узла network_devices_compromise: PT-CR-569: CheckPoint_SmartConsole_Attempt_To_Connect: Обнаружена попытка подключения с помощью утилиты CheckPoint SmartConsole с недоверенного узла