Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP mitre_attck_lateral_movement: PT-CR-1374: Impacket_Like_Execution: Паттерны выполнения сценариев, созданных на основе инструмента Impacket mitre_attck_lateral_movement: PT-CR-1370: Remote_Execution_Via_Custom_Impacket: Перемещение внутри периметра с помощью исполнения кода через протокол SMB (с помощью утилиты, созданной на основе инструмента Impacket) sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_Call: Запуск SAPXPG mitre_attck_persistence: PT-CR-271: Service_Created_Or_Modified: Обнаружена попытка выполнить операции со службами Microsoft Windows через командную строку или PowerShell mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell mitre_attck_persistence: PT-CR-568: IIS_Module_Filter_Installation: Модуль расширения или фильтр был установлен в Internet Information Services. Злоумышленник может прослушивать, изменять или перенаправлять сетевой трафик, а также закрепиться в системе или выполнять вредоносный код на других узлах postgresql_database: PT-CR-1902: PostgreSQL_File_System_Actions: Взаимодействие базы данных PostgreSQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами postgresql_database: PT-CR-1899: PostgreSQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии postgresql_database: PT-CR-1903: Subrule_PostgreSQL_Create_Process: Порождение подпроцессов процесcа базы данных PostgreSQL mitre_attck_defense_evasion: PT-CR-940: SharpEventPersist_Usage: Запуск утилиты SharpEventPersist, используемой для закрепления в системе mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода) mitre_attck_defense_evasion: PT-CR-203: BitsJob_Download_And_Run: Обнаружена попытка загрузить или запустить приложение при помощи средства командной строки Microsoft Windows "bitsadmin" mitre_attck_defense_evasion: PT-CR-1088: Devinit_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью утилиты Microsoft Visual Studio devinit.exe (входит в состав SDK для Visual Studio) mitre_attck_defense_evasion: PT-CR-454: Dnscmd_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows dnscmd.exe (интерфейс командной строки для управления DNS-серверами) mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-652: WDAC_Bypass_Via_Dbgsrv: Пользователь запустил отладчик приложений mitre_attck_defense_evasion: PT-CR-337: Msiexec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msiexec.exe (используется для выполнения файлов MSI) mitre_attck_defense_evasion: PT-CR-1861: Firewall_Modify: Попытка изменить конфигурацию межсетевого экрана Windows mitre_attck_defense_evasion: PT-CR-457: Pcalua_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows pcalua.exe (помощник по совместимости программ) mitre_attck_defense_evasion: PT-CR-198: Regsvr32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) mitre_attck_defense_evasion: PT-CR-201: Cmstp_AWL_Bypass: Попытка обойти контроль учетных записей (UAC) или запрет на запуск приложения с помощью встроенной утилиты Microsoft Windows cmstp.exe (устанавливает или удаляет профиль службы диспетчера подключений) mitre_attck_defense_evasion: PT-CR-456: Odbcconf_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows odbcconf.exe (используется для управления соединениями ODBC) mitre_attck_defense_evasion: PT-CR-455: Mavinject_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mavinject.exe (предоставляется клиентом App-V) mitre_attck_defense_evasion: PT-CR-338: MSXSL_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows msxsl.exe (утилита командной строки для преобразования XSL) mitre_attck_defense_evasion: PT-CR-195: InstallUtil_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows installutil.exe (утилита командной строки, которая позволяет устанавливать и удалять ресурсы сервера, запуская компоненты установщика в указанных сборках) mitre_attck_defense_evasion: PT-CR-603: IEExec_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows ieexec.exe (недокументированное приложение Microsoft .NET Framework, которое можно использовать для запуска других управляемых приложений, запускаемых с помощью URL-адреса) mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО mitre_attck_defense_evasion: PT-CR-197: RegAsm_Or_RegSvcs_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regasm.exe (средство регистрации сборок) или regsvcs.exe (программа установки служб .NET) mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#) mitre_attck_defense_evasion: PT-CR-204: MSHTA_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mshta.exe (используется для выполнения HTML-приложений (.hta)) mitre_attck_defense_evasion: PT-CR-199: Rundll32_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows rundll32.exe (используется для выполнения файлов DLL) mitre_attck_defense_evasion: PT-CR-208: XSL_Script_WMIC_Execution: Обнаружена попытка запустить сценарии XSL с помощью утилиты "wmic" mitre_attck_defense_evasion: PT-CR-946: Suspicious_Execution_Via_Regsvr32: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows regsvr32.exe (используется для регистрации DLL) mitre_attck_execution: PT-CR-340: Execute_Malicious_Command: Обнаружена попытка выполнить потенциально опасную команду mitre_attck_execution: PT-CR-207: Suspicious_Wmic_Command: Обнаружена попытка использовать утилиту "wmic", чтобы совершить подозрительные действия mitre_attck_execution: PT-CR-2707: Execute_File_From_Sysvol_Share: Запущен процесс или сценарий из одного из дочерних каталогов общего сетевого ресурса Sysvol: Startup, Shutdown, Logon, Logoff, Scripts. Эти каталоги используются для хранения исполняемых файлов и файлов сценариев, необходимых для управления групповыми политиками и другими настройками в Active Directory. Это может быть попыткой злоумышленника закрепиться в системе mitre_attck_execution: PT-CR-209: Execute_Suspicious_Command_Via_Cmd: Запуск процесса "Сmd" с потенциально опасными аргументами mitre_attck_execution: PT-CR-223: Code_Execution_Via_JDK_Tools: Обнаружена попытка выполнить код с помощью инструментов Java mitre_attck_execution: PT-CR-339: Subrule_Script_Files_Execution: Пользователь запустил скрипт mitre_attck_execution: PT-CR-2459: Dump_Bitlocker_Keys_From_Host: Использование утилиты manage-bde или командлета Get-BitLockerVolume для получения информации о томах, зашифрованных с помощью BitLocker, а также ключей восстановления. Злоумышленник может использовать полученную информацию для расшифровки защищенных данных mitre_attck_execution: PT-CR-1962: Remote_Registry_Enable: Возможный запуск службы "Удаленный реестр", позволяющей удаленно изменить значения ключей реестра Windows, что может быть использовано для перемещения внутри периметра mitre_attck_execution: PT-CR-316: LOLBin_Copying: Обнаружена попытка скопировать системное приложение mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript mitre_attck_execution: PT-CR-2300: Windows_Path_Traversal: Попытка атаки "Обход каталога" (Path Traversal). Злоумышленники используют эту атаку в командной строке Windows для получения несанкционированного доступа к файлам в системе mitre_attck_execution: PT-CR-954: Tttracer_LOLBin: Обход средств защиты с помощью tttracer.exe mitre_attck_execution: PT-CR-1756: PowerShdll_Usage: Запуск утилиты PowerShdll mitre_attck_execution: PT-CR-342: Schtasks_Commandline: Управление запланированной задачей через командную строку или PowerShell mitre_attck_execution: PT-CR-645: Recon_Via_Webserver_Process: Пользователь запустил процесс от родительского процесса mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_execution: PT-CR-2810: Script_Files_Execution: Пользователь запустил скрипт с помощью процесса, который обратился на внешний адрес, запустил дочерний процесс, изменил ключ реестра, чтобы закрепиться в инфраструктуре, получил доступ к другому процессу или создал удаленный поток в другом процессе mitre_attck_impact: PT-CR-497: Shadow_Copies_Deletion_With_Builtin_Tools: Обнаружение попыток удалить теневые копии данных, необходимых для восстановления Windows mitre_attck_impact: PT-CR-501: Stop_Important_Service: Попытка остановить важную службу pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты pt_application_firewall: PT-CR-1906: PTAF_Command_Injection_Detected: Приложение PT AF обнаружило внедрение команд ОС mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory mitre_attck_cred_access: PT-CR-298: Access_System_Credential_Files_Via_Cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы mitre_attck_cred_access: PT-CR-567: ProcDump_Usage: Информация процесса LSASS сохранена с помощью утилиты ProcDump mitre_attck_collection: PT-CR-1012: Export_Certs: Попытка экспорта сертификатов или ключевых контейнеров mitre_attck_collection: PT-CR-500: Documents_Access_Via_Console: Взаимодействие с документами Office через cmd.exe или PowerShell mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mssql_database: PT-CR-423: MSSQL_System_Command_Usage: Попытка выполнить системную команду с помощью хранимой процедуры it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM mysql_database: PT-CR-617: MySQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender hacking_tools: PT-CR-374: Sliver_Shell_Usage: Обнаружено возможное использование программного обеспечения Sliver Shell hacking_tools: PT-CR-369: Mimikatz_Command: Обнаружено возможное использование программного обеспечения Mimikatz hacking_tools: PT-CR-839: SharPersist_Usage: Обнаружено возможное использование утилиты SharPersist hacking_tools: PT-CR-3049: ToxicEye_Usage: Подозрительная активность, схожая с активностью трояна удаленного доступа ToxicEye, использующего Telegram в качестве управляющего сервера. Признаки подозрительной активности: DNS-запрос к API Telegram, создание характерных динамических библиотек, закрепление в системе путем создания запланированной задачи или копии процесса в другом каталоге либо путем получения доступа к файлам, содержащим конфиденциальные данные hacking_tools: PT-CR-2562: Subrule_Cobalt_Strike_RunDLL32: Процесс rundll32.exe без аргументов запущен и подключен к удаленному узлу. Это может быть признаком активности Cobalt Strike hacking_tools: PT-CR-373: SharpWMI_Usage: Обнаружено возможное использование программного обеспечения SharpWMI hacking_tools: PT-CR-2636: Invoke_Rubeus_Usage: Использована техника AS-REP Roasting или Kerberoasting путем внедрения полезной нагрузки в память процесса PowerShell. Это может быть признаком использования вредоносной утилиты Invoke-Rubeus (обфусцированная версия Rubeus, использующая закодированную в Base64 полезную нагрузку) hacking_tools: PT-CR-371: Rubeus_Usage: Обнаружено возможное использование программного обеспечения Rubeus hacking_tools: PT-CR-370: NetCat_Usage: Обнаружено возможное использование программного обеспечения NetCat, Socat или Powercat hacking_tools: PT-CR-1852: PPLBlade_Cmdline: Возможное использование ПО PPLBlade, предназначенного для скрытого дампа памяти процесса LSASS hacking_tools: PT-CR-588: Windows_Hacktool_Usage: Обнаружено возможное использование утилит для анализа защищенности систем Windows hacking_tools: PT-CR-586: Metasploit_Payload: Обнаружено возможное исполнение полезной нагрузки Metasploit hacking_tools: PT-CR-2637: Subrule_Invoke_Rubeus_Usage: Возможное использование функций PowerShell для внедрения полезной нагрузки в память процесса. Это может быть признаком использования вредоносной утилиты Invoke-Rubeus (обфусцированная версия Rubeus, использующая закодированную в Base64 полезную нагрузку) hacking_tools: PT-CR-2799: Rubeus_Non_Cmdline_Usage: Использование инструмента Rubeus для атак на протокол Kerberos hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя hacking_tools: PT-CR-2690: Covenant_Shellcmd_Usage: Выполнена команда в командной строке Windows с помощью Covenant hacking_tools: PT-CR-372: SharpSploit_Usage: Обнаружено возможное использование программного обеспечения SharpSploit hacking_tools: PT-CR-759: SharpMapExec_Usage: Обнаружено возможное использование утилиты SharpMapExec hacking_tools: PT-CR-840: SharpKatz_Usage: Обнаружены признаки использования программного обеспечения SharpKatz hacking_tools: PT-CR-2688: Covenant_Launcher_Start: Запущен лаунчер Covenant с помощью InstallUtil или PowerShell с последующей установкой подозрительного TCP-соединения с другим узлом