Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-733: NAD_DNS_Zone_Transfer: PT NAD обнаружил AXFR-запрос от недоверенного DNS-сервера network_devices_abnormal_activity: PT-CR-477: Untrusted_DNS_Server_Usage: Обнаружено подключение к DNS-серверу из внешней сети dnsmasq: PT-CR-2233: Dnsmasq_New_Kind_Of_Network_Detection: DNS-запросы к сетевому сервису New Kind of Network, который может быть использован в качестве канала C2 dnsmasq: PT-CR-2231: Dnsmasq_Wannacry_Killswitch_Detection: DNS-запросы к внешним сервисам, соответствующим ВПО WannaCry dnsmasq: PT-CR-2227: Dnsmasq_Base64_Encoded_DNS_Request_Detection: Подозрительные DNS-запросы с использованием кодировки Base64 dnsmasq: PT-CR-2232: Dnsmasq_Cobalt_Strike_DNS_Beaconing_Detection: Подозрительный DNS-запрос от маяков Cobalt Strike dnsmasq: PT-CR-2203: Dnsmasq_DNS_Query_High_Frequency: Большое количество DNS-запросов к одному и тому же домену, что может свидетельствовать об использовании DNS для передачи данных dnsmasq: PT-CR-2200: Dnsmasq_TXT_Query_High_Frequency: Чрезвычайно высокая частота DNS-запросов c типом записи TXT от узла за короткий период времени может свидетельствовать об использовании инструмента Do-exfiltration dnsmasq: PT-CR-2228: Dnsmasq_External_Service_Interaction_Domain_Detection: Подозрительные DNS-запросы к доменам взаимодействия с внешними службами, которые часто используются для внеполосного взаимодействия после успешного RCE dnsmasq: PT-CR-2230: Dnsmasq_Monero_Crypto_Coin_Mining_Domain_Detection: Подозрительные DNS-запросы к пулам для майнинга Monero active_directory_attacks: PT-CR-74: DNS_Zone_Transfer_To_Untrusted_Host: AXFR-запрос от недоверенного DNS-сервера. С помощью этого запроса злоумышленники могут раскрыть внутреннюю структуру сети и получить доступ к конфиденциальной информации bind: PT-CR-2189: BIND_Cobalt_Strike_DNS_Beaconing_Detection: Подозрительный запрос параметров DNS. Подобные запросы исходят от маяков Cobalt Strike, которые могут использоваться злоумышленниками для тестирования инфраструктуры и обнаружения уязвимостей bind: PT-CR-2190: BIND_New_Kind_Of_Network_Detection: Запрос параметров DNS для ресурса, который может выступать в качестве канала C2-сервера. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить атаки bind: PT-CR-2188: BIND_Monero_Crypto_Coin_Mining_Domain_Detection: Запрос параметров DNS к пулам для майнинга Monero bind: PT-CR-2193: BIND_Many_DNS_Requests_To_Single_Resource: Множество DNS-запросов к одному ресурсу, что может быть признаком работы вредоносного ПО, которое пытается получить доступ к вредоносным сайтам или сервисам bind: PT-CR-2195: BIND_Many_DNS_Requests_From_Single_Host: Множество DNS-запросов с одного узла, что может быть признаком запуска вредоносного ПО, которое использует DNS для передачи команд и управления bind: PT-CR-2194: BIND_DNS_Zone_Transfer_From_Untrusted_Host: Передача зоны DNS от недоверенного узла bind: PT-CR-2187: BIND_Wannacry_Killswitch_Detection: Запрос параметров DNS для ресурса Kill Switch вредоносной программы WannaCry bind: PT-CR-2196: BIND_Many_DNS_TXT_Records_Requests: Множество DNS-запросов с типом записи "TXT", что может быть признаком использования вредоносного инструмента Do-Exfiltration bind: PT-CR-2185: BIND_External_Service_Interaction_Domain_Detection: Запрос параметров DNS к доменам взаимодействия с внешними службами. Злоумышленники используют подобные запросы для внеполосных взаимодействий bind: PT-CR-2191: BIND_Base64_Encoded_DNS_Request_Detection: Запрос параметров DNS для ресурса содержит кодировку Base64. Злоумышленники используют кодировку в запросах, чтобы замаскировать свою активность mitre_attck_cred_access: PT-CR-1076: DNS_Spoofing: Обнаружена подмена DNS доменных узлов. Адрес узла, с которого велась атака, занесен в табличный список.