MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1069: Изучение групп разрешений

Злоумышленники могут попытаться получить информацию о настройках групп и разрешений. Эта информация может помочь злоумышленникам определить, какие учетные записи и группы пользователей доступны, принадлежность пользователей к конкретным группам и то, какие пользователи и группы обладают повышенными привилегиями.

Злоумышленники могут попытаться получить информацию о настройках разрешений для групп множеством различных способов. Эти данные могут предоставить злоумышленникам информацию о скомпрометированной среде, которая затем может быть использована в последующей активности и при выборе целей атак.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
postgresql_database: PT-CR-1830: PostgreSQL_Users_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о получении информации о пользователях базы данных PostgreSQL, что может быть признаком активности злоумышленника

Способы обнаружения

IDDS0036Источник и компонент данныхГруппа: Перечисление группОписание

Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например, события Windows с ИД 4798 или 4799.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте сбор событий, связанных с попытками получить информацию о настройках облачных групп и разрешений.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках групп и разрешений в локальной системе.

Примечание. События регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса). Этот анализ отслеживает все процессы net.exe, используемые для перечисления локальных пользователей или групп. Обычно эта утилита не используется в стандартных операциях, поэтому ее применение системными администраторами может вызвать ложные срабатывания.

Анализ 1. Изучение разрешений локальных групп

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="net.exe" AND ( CommandLine="net user" OR CommandLine="net group" OR CommandLine="net localgroup*" OR CommandLine="get-localgroup" OR CommandLine="get-ADPrincipalGroupMembership" )

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках групп и разрешений в локальной системе.

IDDS0036Источник и компонент данныхГруппа: Метаданные группыОписание

Контекстные данные группы, описывающие ее и связанную с ней активность, с помощью которых можно попытаться получить информацию о настройках облачных групп и разрешений.