Экспертиза MaxPatrol SIEM

postfix: PT-CR-2714: Postfix_Message_To_Root: Сообщение было отправлено на имя root-пользователя. Если в сообщении есть макросы, они будут выполнены от имени root-пользователя profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-218: SecurityAdmin_Abnormal_Access: Подозрительный вход администратора безопасности. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2456: FreeIPA_Abnormal_Access: Подозрительная аутентификация в домене FreeIPA. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1785: Teampass_Abnormal_Access: Подозрительный вход в приложение TeamPass. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2337: PostgreSQL_Abnormal_Access: Подозрительный вход в СУБД PostgreSQL. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1809: Gitlab_Abnormal_Access: Подозрительный вход в приложение GitLab. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1811: Teamcity_Abnormal_BuildConfig_Modify: Подозрительный вход и изменение конфигурации сборки в TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1062: Fortigate_Abnormal_Access: Подозрительное подключение к оборудованию FortiGate. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1050: Subrule_Windows_Host_Abnormal_Access: Подозрительный вход на критически важный узел. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2508: Kontinent_Abnormal_Access: Подозрительный вход в приложение Континент. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2734: Elasticsearch_TM_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1041: Teamcity_Abnormal_Access: Подозрительный вход в приложение TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1791: Application_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1049: Subrule_Unix_Server_Abnormal_Access: Подозрительные подключения по протоколу SSH к Unix-серверам сети. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1034: App_1C_Enterprise_Abnormal_Access: Подозрительный вход в приложение "1С:Предприятие". Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1787: MFA_Abnormal_Access: Подозрительная аутентификация в приложении Multifactor. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2137: Hashicorp_Vault_Abnormal_Access: Подозрительный вход в систему Vault. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2388: Arista_EOS_Abnormal_Access: Подозрительное подключение к оборудованию Arista. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2325: Grafana_Abnormal_Access: Подозрительный вход в Grafana. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2817: ZVirt_Abnormal_Access: Подозрительный вход в систему zVirt. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1784: MSSQL_Abnormal_Access: Подозрительный вход в приложение Microsoft SQL Server. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1793: Confluence_Abnormal_Access: Подозрительный вход в приложение Confluence. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1063: Wifi_Abnormal_Access: Подозрительное подключение к оборудованию Wi-Fi. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2533: Teleport_Abnormal_Access: Подозрительный вход в систему Teleport. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1054: Subrule_Teampass_Login_Successful: Вход в приложение TeamPass profiling: PT-CR-1792: ADFS_Abnormal_Access: Подозрительный вход с помощью службы федерации Active Directory (AD FS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1782: PT_IAM_Abnormal_Access: Подозрительный вход в приложение Positive Technologies через систему IAM. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2519: Infowatch_TM_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1808: Passwork_Abnormal_Access: Подозрительный вход в приложение Passwork. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1061: Cisco_Abnormal_Access: Подозрительное подключение к оборудованию Cisco. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1788: Keycloak_Abnormal_Access: Подозрительный вход с помощью Keycloak. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1382: Checkpoint_Abnormal_Access: Подозрительное подключение к оборудованию Check Point. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2580: Citrix_NS_ADC_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2059: Zabbix_Abnormal_Access: Подозрительный вход в систему Zabbix. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1051: KSC_Console_Abnormal_Access: Подозрительный вход в консоль Kaspersky Security Center. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1059: VCenter_Abnormal_Access: Подозрительный вход в приложение vCenter. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1037: UsWeb_Abnormal_Access: Подозрительный вход в веб-интерфейс сервера обновлений. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2592: ViPNet_TIAS_Abnormal_Access: Подозрительный вход в систему ViPNet TIAS. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1920: PTAF_Abnormal_Access: Подозрительный вход в приложение PT AF. Данные аутентификации отличаются от собранного профиля web_servers_abnormal_activity: PT-CR-1969: Web_Servers_Abnormal_Activity_Many_Accounts_One_Host: Злоумышленник может получить доступ к нескольким учетным записям и использовать возможности каждой из них по очереди, чтобы продвигаться по сети web_servers_abnormal_activity: PT-CR-1965: Web_Servers_Abnormal_Activity_Many_Hosts_One_Account: Злоумышленник может получить доступ к одной учетной записи и использовать ее с разных компьютеров, чтобы продвигаться по сети remote_work: PT-CR-1055: VPN_Abnormal_Access: Подозрительное подключение по VPN. Данные подключения отличаются от ранее собранного профиля remote_work: PT-CR-1058: Remote_Login_From_Not_Allowed_Country: Подключение через VPN или RDG с IP-адреса, который не принадлежит пулу адресов разрешенных стран remote_work: PT-CR-1048: RDG_Abnormal_Access: Подозрительное подключение к Remote Desktop Gateway (RDG). Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-1057: VPN_User_Abnormal_Access: Подозрительный вход на внутренние ресурсы. Пользователь вошел с адреса, принадлежащего другому пользователю, либо данные аутентификации отличаются от собранного профиля remote_work: PT-CR-1056: VPN_MultiUser_IP: Один IP-адрес используется в разных VPN-сеансах clickhouse: PT-CR-1567: ClickHouse_Logon_Same_User_From_Different_Hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов clickhouse: PT-CR-1579: ClickHouse_Logon_Same_Host_Different_Users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла capabilities_account_manipulation: PT-CR-2890: CAP_Fired_User_Enabling: Разблокировка или включение учетной записи, принадлежащей уволенному сотруднику. Злоумышленники могут восстанавливать такие учетные записи для получения доступа, закрепления в системе, повышения привилегий или обхода средств защиты supply_chain: PT-CR-1771: SupplyChain_Gitlab_Login_From_New_Address: Пользователь с ролью Maintainer, Owner или Developer вошел в приложение с нового адреса vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud. Злоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки mitre_attck_lateral_movement: PT-CR-2462: Multiple_RDP_From_One_User_Or_Host: Множество RDP-подключений от одного узла или учетной записи. Это может быть признаком скрытых перемещений злоумышленника от одной скомпрометированной системы к другой unix_mitre_attck_lateral_movement: PT-CR-487: Unix_SSH_Login_By_Daemons: Перемещение внутри периметра под именем сервисной учетной записи. Атакующие могут воспользоваться известными учетными записями служб для получения удаленного доступа к целевой системе capabilities_logon: PT-CR-2884: CAP_Significant_User_Logon: Вход в систему с использованием учетной записи из табличного списка Applications_Significant_Users, являющейся значимой с точки зрения безопасности. Получив учетные данные значимой учетной записи, злоумышленники могут воспользоваться ими для получения начального доступа, закрепления, повышения привилегий или предотвращения обнаружения kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись network_devices_compromise: PT-CR-2284: ViPNet_Policy_Manager_User_Privileges_Modify: Изменены привилегии пользователя enterprise_1c_and_bitrix: PT-CR-670: Enterprise_1C_Enable_Account_And_Login: Только что созданный пользователь вошел в систему enterprise_1c_and_bitrix: PT-CR-671: Enterprise_1C_Logon_Same_User_From_Different_Terminals: Успешный вход в систему с разных терминалов enterprise_1c_and_bitrix: PT-CR-668: Enterprise_1C_Using_Various_Accounts_On_One_Terminal: Вход в систему с одного узла под разными учетными записями mitre_attck_persistence: PT-CR-2604: Unauthorized_Reset_Password_For_Sensitive_Users: Неожиданный сброс пароля критически важного пользователя. Это может быть признаком компрометации учетной записи пользователя