Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_Via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов sap_suspicious_user_activity: PT-CR-254: SAPASABAP_GW_Sapxpg_Call: Запуск SAPXPG postgresql_database: PT-CR-1902: PostgreSQL_File_System_Actions: Взаимодействие базы данных PostgreSQL с файловой системой может свидетельствовать о разведке или попытках злоумышленника повысить привилегии в том случае, если это не штатная интеграция базы данных с внешними системами postgresql_database: PT-CR-1899: PostgreSQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии postgresql_database: PT-CR-1903: Subrule_PostgreSQL_Create_Process: Порождение подпроцессов процесcа базы данных PostgreSQL mitre_attck_defense_evasion: PT-CR-1776: Browser_LOLBin: Запуск процесса с помощью доверенного ПО vulnerabilities: PT-CR-3017: CVE_2024_22116_Zabbix_Command_Injection: Эксплуатация уязвимости CVE-2024-22116 в Zabbix, позволяющей внедрить произвольную команду в код сценария. Злоумышленник создает или изменяет макрос, указывая в нем нужную команду, а затем указывает этот макрос вместо IP-адреса узла для мониторинга. При выполнении сценария происходит внедрение и выполнение команды, указанной в макросе. При эксплуатации этой уязвимости часто используются сценарии по умолчанию, такие как "Detect operating system", "Ping", "Traceroute" unix_mitre_attck_execution: PT-CR-1018: Unix_Hacktool_Usage: Использование инструментов из табличного списка Unix_Hacktools для анализа защищенности на узлах под управлением Unix unix_mitre_attck_execution: PT-CR-2752: LOLESXi_Usage: Выполнена потенциально опасная команда в командной оболочке ESXi на виртуальной машине, запущенной с помощью гипервизора VMware ESXi unix_mitre_attck_execution: PT-CR-1031: Unix_Inline_Reverse_Or_Bind_Shell: Прямое или обратное подключение (bind или reverse shell) обнаружено по специфичным шаблонам команды, запущенной на исполнение unix_mitre_attck_execution: PT-CR-1019: Unix_Recon_Tools_And_Commands: Выполнены команды разведки на узле под управлением Unix unix_mitre_attck_execution: PT-CR-1021: Unix_Suspicious_Command: Подозрительные команды выполнены на узле под управлением Unix unix_mitre_attck_execution: PT-CR-1071: Unix_Connect_From_Home_Dir: Вызов сетевого API процессом, запущенным из домашнего каталога пользователя unix_mitre_attck_execution: PT-CR-482: Unix_Connect_From_Suspicious_Dir: Вызов сетевого API процессом, запущенным из подозрительного каталога unix_mitre_attck_execution: PT-CR-296: Unix_Reverse_Shell: Обратное подключение (reverse shell), созданное при помощи сторонних утилит unix_mitre_attck_execution: PT-CR-294: Unix_Reverse_Shell_Via_Bash: Обратное подключение (reverse shell) с помощью Bash-скрипта unix_mitre_attck_execution: PT-CR-286: Unix_Bind_Shell: Внешнее подключение к Bind Shell pt_application_firewall: PT-CR-1915: PTAF_Hacktool_Detected: Приложение PT AF обнаружило признаки использования вредоносной утилиты pt_application_firewall: PT-CR-1906: PTAF_Command_Injection_Detected: Приложение PT AF обнаружило внедрение команд ОС solaris_suspicious_network_activity: PT-CR-552: Solaris_Detect_Run_Reverse_Shell_By_Something: Использование reverse shell при помощи сторонних утилит solaris_suspicious_network_activity: PT-CR-551: Solaris_Detect_Run_Bash_For_Reverse_Shell: Использование reverse shell при помощи bash solaris_suspicious_network_activity: PT-CR-545: Solaris_Detect_Bind_Shell: Обнаружено внешнее подключение к bind shell it_bastion: PT-CR-2177: SKDPUNT_Potentially_Dangerous_Command: Использованы потенциально опасные команды it_bastion: PT-CR-2171: SKDPUNT_Suspicious_Command: Пользователь выполнил потенциально опасную команду it_bastion: PT-CR-2184: SKDPUNT_Blacklisted_Command: Выполнена команда из черного списка mysql_database: PT-CR-617: MySQL_Code_Execution: Запуск процесса от имени учетной записи базы данных может свидетельствовать о попытке злоумышленника, получившего возможность выполнять запросы к базе данных, повысить привилегии unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра pt_cs: PT-CR-2865: PTCS_Hacktool_Usage: Запущен подозрительный процесс или процесс из нестандартной директории pt_cs: PT-CR-2859: PTCS_Reverse_Shell: Процесс создал обратное подключение к удаленному узлу. Получив удаленный доступ к системе с помощью командного интерпретатора (shell), злоумышленники могут выполнять команды, перехватывать данные, внедрять вредоносный код, перемещаться по внутренней сети и закрепиться в инфраструктуре pt_cs: PT-CR-2847: PTCS_Suspicious_Shell_Create: Подозрительный запуск командного интерпретатора (shell) внутри контейнера. Это может быть действием злоумышленников с целью вручную выполнить команды взаимодействия, провести разведку, повысить привилегии, выйти за пределы изолированной среды контейнера или развить атаку после эксплуатации уязвимости unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор