T1069: Изучение групп разрешений
Злоумышленники могут попытаться получить информацию о настройках групп и разрешений. Эта информация может помочь злоумышленникам определить, какие учетные записи и группы пользователей доступны, принадлежность пользователей к конкретным группам и то, какие пользователи и группы обладают повышенными привилегиями.
Злоумышленники могут попытаться получить информацию о настройках разрешений для групп множеством различных способов. Эти данные могут предоставить злоумышленникам информацию о скомпрометированной среде, которая затем может быть использована в последующей активности и при выборе целей атак.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
postgresql_database: PT-CR-1830: PostgreSQL_Users_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о получении информации о пользователях базы данных PostgreSQL, что может быть признаком активности злоумышленника
Способы обнаружения
ID | DS0036 | Источник и компонент данных | Группа: Перечисление групп | Описание | Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например, события Windows с ИД 4798 или 4799. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте сбор событий, связанных с попытками получить информацию о настройках облачных групп и разрешений. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений в локальной системе. Примечание. События регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса). Этот анализ отслеживает все процессы net.exe, используемые для перечисления локальных пользователей или групп. Обычно эта утилита не используется в стандартных операциях, поэтому ее применение системными администраторами может вызвать ложные срабатывания. Анализ 1. Изучение разрешений локальных групп
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений в локальной системе. |
---|
ID | DS0036 | Источник и компонент данных | Группа: Метаданные группы | Описание | Контекстные данные группы, описывающие ее и связанную с ней активность, с помощью которых можно попытаться получить информацию о настройках облачных групп и разрешений. |
---|