Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1771: SupplyChain_Gitlab_Login_From_New_Address: Пользователь с ролью Maintainer, Owner или Developer вошел в приложение с нового адреса supply_chain: PT-CR-1758: SupplyChain_Merge_Request_Approve_By_Creator: Пользователь одобрил созданный им запрос на слияние в ветку mitre_attck_lateral_movement: PT-CR-2462: Multiple_RDP_From_One_User_Or_Host: Множество RDP-подключений от одного узла или учетной записи. Это может быть признаком скрытых перемещений злоумышленника от одной скомпрометированной системы к другой profiling: PT-CR-1808: Passwork_Abnormal_Access: Подозрительный вход в приложение Passwork. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2519: Infowatch_TM_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2533: Teleport_Abnormal_Access: Подозрительный вход в систему Teleport. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2059: Zabbix_Abnormal_Access: Подозрительный вход в систему Zabbix. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1050: Subrule_Windows_Host_Abnormal_Access: Подозрительный вход на критически важный узел. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1059: VCenter_Abnormal_Access: Подозрительный вход в приложение vCenter. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1788: Keycloak_Abnormal_Access: Подозрительный вход с помощью Keycloak. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1037: UsWeb_Abnormal_Access: Подозрительный вход в веб-интерфейс сервера обновлений. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1785: Teampass_Abnormal_Access: Подозрительный вход в приложение TeamPass. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2456: FreeIPA_Abnormal_Access: Подозрительная аутентификация в домене FreeIPA. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1793: Confluence_Abnormal_Access: Подозрительный вход в приложение Confluence. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1792: ADFS_Abnormal_Access: Подозрительный вход с помощью службы федерации Active Directory (AD FS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1784: MSSQL_Abnormal_Access: Подозрительный вход в приложение Microsoft SQL Server. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2817: ZVirt_Abnormal_Access: Подозрительный вход в систему zVirt. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1054: Subrule_Teampass_Login_Successful: Вход в приложение TeamPass profiling: PT-CR-1049: Subrule_Unix_Server_Abnormal_Access: Подозрительные подключения по протоколу SSH к Unix-серверам сети. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2580: Citrix_NS_ADC_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1034: App_1C_Enterprise_Abnormal_Access: Подозрительный вход в приложение "1С:Предприятие". Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2137: Hashicorp_Vault_Abnormal_Access: Подозрительный вход в систему Vault. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2734: Elasticsearch_TM_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2325: Grafana_Abnormal_Access: Подозрительный вход в Grafana. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1787: MFA_Abnormal_Access: Подозрительная аутентификация в приложении Multifactor. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2508: Kontinent_Abnormal_Access: Подозрительный вход в приложение Континент. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1782: PT_IAM_Abnormal_Access: Подозрительный вход в приложение Positive Technologies через систему IAM. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1051: KSC_Console_Abnormal_Access: Подозрительный вход в консоль Kaspersky Security Center. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1791: Application_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1920: PTAF_Abnormal_Access: Подозрительный вход в приложение PT AF. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2337: PostgreSQL_Abnormal_Access: Подозрительный вход в СУБД PostgreSQL. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1871: MECM_Abnormal_Access: Подозрительный вход с помощью Microsoft Endpoint Configuration Manager. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1063: Wifi_Abnormal_Access: Подозрительное подключение к оборудованию Wi-Fi. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-218: SecurityAdmin_Abnormal_Access: Подозрительный вход администратора безопасности. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1783: Owa_Abnormal_Access: Подозрительный вход в приложение Outlook Web App. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1809: Gitlab_Abnormal_Access: Подозрительный вход в приложение GitLab. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1811: Teamcity_Abnormal_BuildConfig_Modify: Подозрительный вход и изменение конфигурации сборки в TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1041: Teamcity_Abnormal_Access: Подозрительный вход в приложение TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись enterprise_1c_and_bitrix: PT-CR-671: Enterprise_1C_Logon_Same_User_From_Different_Terminals: Успешный вход в систему с разных терминалов enterprise_1c_and_bitrix: PT-CR-668: Enterprise_1C_Using_Various_Accounts_On_One_Terminal: Вход в систему с одного узла под разными учетными записями enterprise_1c_and_bitrix: PT-CR-670: Enterprise_1C_Enable_Account_And_Login: Только что созданный пользователь вошел в систему microsoft_sharepoint: PT-CR-2115: Sharepoint_Grant_User_Access: Пользователь получил доступ на вход на сервер SharePoint mitre_attck_persistence: PT-CR-2604: Unauthorized_Reset_Password_For_Sensitive_Users: Неожиданный сброс пароля критически важного пользователя. Это может быть признаком компрометации учетной записи пользователя capabilities_account_manipulation: PT-CR-2890: CAP_Fired_User_Enabling: Разблокировка или включение учетной записи, принадлежащей уволенному сотруднику. Злоумышленники могут восстанавливать такие учетные записи для получения доступа, закрепления в системе, повышения привилегий или обхода средств защиты mitre_attck_initial_access: PT-CR-1379: Service_Account_VPN_Connect: Подлючение сервисной учетной записи по VPN mitre_attck_initial_access: PT-CR-2567: Logon_Via_Vuln_Scanner_Account: Вход под учетной записью сканера уязвимостей с узла, не являющегося сервером сканера уязвимостей. Это может быть признаком использования учетной записи злоумышленниками mitre_attck_initial_access: PT-CR-1380: Service_Account_Mail_Auth: Авторизация в корпоративной почте под сервисной учетной записью mitre_attck_initial_access: PT-CR-1381: Service_Logon_From_VPN_Network: Пользователь вошел во внутренний сервис или на узел из сети VPN под сервисной учетной записью microsoft_exchange: PT-CR-2361: Exchange_Blacklisted_Account_Login: Пользователь из черного списка вошел в Exchange. Это может быть действием злоумышленника с целью повысить привилегии microsoft_exchange: PT-CR-2434: Exchange_Distribution_Group_Member_Added: Попытка добавить пользователя в группу рассылки pt_ngfw: PT-CR-2935: NGFW_SAM_Account_Name_Spoofing: PT NGFW обнаружил запрос TGT-билета от имени учетной записи, совпадающей с именем контроллера домена mitre_attck_execution: PT-CR-1358: PowerViewPy_Init_Connection: Обнаружение запуска скрипта Powerview.py по характерным LDAP-запросам к контроллеру домена capabilities_suspicious_activity: PT-CR-3059: CAP_Activity_From_Known_Malicious_Hostname: Попытки входа на узел с подозрительного узла или подозрительная активность на DHCP-сервере. Подозрительность определяется наличием в сетевом имени узла артефактов, присущих инструментам анализа защищенности, либо дистрибутивов, использующихся для тестирования на проникновение или в компьютерной криминалистике pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет bitbucket: PT-CR-2697: Bitbucket_Login_From_New_Address: Пользователь с важным разрешением вошел в приложение Bitbucket с нового адреса. Это может быть действием злоумышленников, получивших учетные данные пользователя microsoft_mecm: PT-CR-1877: MECM_Create_New_Roles: Создание новой роли в MECM microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM microsoft_mecm: PT-CR-1873: MECM_Client: Подключение нового узла к инфраструктуре с помощью MECM microsoft_mecm: PT-CR-1875: MECM_Privileges_Escalation_Via_Role: Повышение привилегий для пользователя в MECM microsoft_mecm: PT-CR-1874: MECM_Not_Allowed_Operation_With_Roles: Попытка повысить привилегии с помощью ролей в MECM bruteforce: PT-CR-1706: Probing_Auth_On_Various_Hosts: Множественные попытки авторизоваться на разных узлах от имени одной и той же учетной записи. Это может означать, что злоумышленник проверяет полученные ранее учетные данные на различных узлах, чтобы получить доступ к этим узлам remote_work: PT-CR-1058: Remote_Login_From_Not_Allowed_Country: Подключение через VPN или RDG с IP-адреса, который не принадлежит пулу адресов разрешенных стран remote_work: PT-CR-1048: RDG_Abnormal_Access: Подозрительное подключение к Remote Desktop Gateway (RDG). Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-1036: Mail_Abnormal_Access: Подозрительный вход в почту с нового мобильного устройства. Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-1056: VPN_MultiUser_IP: Один IP-адрес используется в разных VPN-сеансах remote_work: PT-CR-1055: VPN_Abnormal_Access: Подозрительное подключение по VPN. Данные подключения отличаются от ранее собранного профиля remote_work: PT-CR-1057: VPN_User_Abnormal_Access: Подозрительный вход на внутренние ресурсы. Пользователь вошел с адреса, принадлежащего другому пользователю, либо данные аутентификации отличаются от собранного профиля vk_workmail: PT-CR-2995: VK_Workmail_App_Password_Create: Пользователь создал пароль для внешнего почтового приложения. Это может свидетельствовать об утечке данных или попытке несанкционированного доступа к конфиденциальной информации capabilities_logon: PT-CR-2884: CAP_Significant_User_Logon: Вход в систему с использованием учетной записи из табличного списка Applications_Significant_Users, являющейся значимой с точки зрения безопасности. Получив учетные данные значимой учетной записи, злоумышленники могут воспользоваться ими для получения начального доступа, закрепления, повышения привилегий или предотвращения обнаружения clickhouse: PT-CR-1579: ClickHouse_Logon_Same_Host_Different_Users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла clickhouse: PT-CR-1567: ClickHouse_Logon_Same_User_From_Different_Hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь изменил SamAccountName объекта AD на несвойственное (наличие или отсутствие символа "$" в конце имени не соответствует типу объекта) или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может быть признаком атаки SamAccountName Spoofing, реализация которой позволит злоумышленникам повысить привилегии или провести атаку Targeted Timeroasting active_directory_attacks: PT-CR-3060: BadSuccessor_Attack: Возможная атака BadSuccessor. В свойства делегированной управляемой учетной записи службы (dMSA) добавлена ссылка на другую учетную запись и установлен статус миграции "Завершена". Учетная запись dMSA может быть специально создана, а затем удалена, чтобы скрыть следы вредоносной активности