MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1078.003: Локальные учетные записи

Злоумышленники могут получать и использовать данные для входа в локальные учетные записи для первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Локальные учетные записи настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования в рамках одной системы или сервиса.

Злоумышленники могут использовать локальные учетные записи для повышения привилегий и сбора учетных данных через получение дампа учетных данных. Если в учетных записях используются повторяющиеся пароли, злоумышленники могут воспользоваться локальными учетными записями на нескольких машинах в одной сети для повышения привилегий и перемещения внутри периметра.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

web_servers_abnormal_activity: PT-CR-1965: Web_Servers_Abnormal_Activity_Many_Hosts_One_Account: Злоумышленник может получить доступ к одной учетной записи и использовать ее с разных компьютеров, чтобы продвигаться по сети
web_servers_abnormal_activity: PT-CR-1969: Web_Servers_Abnormal_Activity_Many_Accounts_One_Host: Злоумышленник может получить доступ к нескольким учетным записям и использовать возможности каждой из них по очереди, чтобы продвигаться по сети
supply_chain: PT-CR-1771: SupplyChain_Gitlab_Login_From_New_Address: Пользователь с ролью Maintainer, Owner или Developer вошел в приложение с нового адреса
enterprise_1c_and_bitrix: PT-CR-670: Enterprise_1C_enable_account_and_login: Только что созданный пользователь вошел в систему
enterprise_1c_and_bitrix: PT-CR-671: Enterprise_1C_logon_same_user_from_different_terminals: Успешный вход в систему с разных терминалов
network_devices_compromise: PT-CR-2284: ViPNet_Policy_manager_user_privileges_modify: Изменены привилегии пользователя
active_directory_attacks: PT-CR-656: Failed_Network_Access_with_Unknown_User: Пользователь не смог войти на узел под управлением ОС Windows от имени отключенной или несуществующей учетной записи. Это может быть признаком перебора учетных записей или компрометации учетных данных
active_directory_attacks: PT-CR-87: Session_enumeration_smb: Выгрузка активных пользовательских сеансов на определенном узле. Это позволит злоумышленнику получить информацию о пользователях, вошедших в систему локально или через разделяемый сетевой ресурс SMB. Использование этих данных позволит злоумышленнику получить доступ к разведываемому узлу
profiling: PT-CR-1034: App_1C_Enterprise_Abnormal_Access: Подозрительный вход в приложение "1С:Предприятие". Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1041: Teamcity_Abnormal_Access: Подозрительный вход в приложение TeamCity. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1049: Subrule_Unix_Server_Abnormal_Access: Подозрительные подключения по протоколу SSH к Unix-серверам сети. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1050: Subrule_Windows_Host_Abnormal_Access: Подозрительный вход на критически важный узел. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1051: KSC_Console_Abnormal_Access: Подозрительный вход в консоль Kaspersky Security Center. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1054: Subrule_Teampass_Login_Successful: Вход в приложение TeamPass
profiling: PT-CR-1056: VPN_MultiUser_IP: Один IP-адрес используется в разных VPN-сеансах
profiling: PT-CR-1057: VPN_User_Abnormal_Access: Вход на внутренние ресурсы с адреса, принадлежащего другому пользователю. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1059: vCenter_Abnormal_Access: Подозрительный вход в приложение vCenter. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1061: Cisco_Abnormal_Access: Подозрительное подключение к оборудованию Cisco. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1062: Fortigate_Abnormal_Access: Подозрительное подключение к оборудованию FortiGate. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1063: Wifi_Abnormal_Access: Подозрительное подключение к оборудованию Wi-Fi. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1382: Checkpoint_Abnormal_Access: Подозрительное подключение к оборудованию Check Point. Данные аутентификации отличаются от собранного профиля
clickhouse: PT-CR-1567: ClickHouse_logon_same_user_from_different_hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов
clickhouse: PT-CR-1579: ClickHouse_logon_same_host_different_users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла
clickhouse: PT-CR-1580: ClickHouse_logon_of_significant_user: Обнаружен вход пользователя в СУБД под учетной записью из табличного списка ClickHouse_significant_users
profiling: PT-CR-1782: PT_IAM_Abnormal_Access: Подозрительный вход в приложение Positive Technologies через систему IAM. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1784: MSSQL_Abnormal_Access: Подозрительный вход в приложение Microsoft SQL Server. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1785: Teampass_Abnormal_Access: Подозрительный вход в приложение TeamPass. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1787: MFA_Abnormal_Access: Подозрительная аутентификация в приложении Multifactor. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1788: Keycloak_Abnormal_Access: Подозрительный вход с помощью Keycloak. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1791: Application_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1792: ADFS_Abnormal_Access: Подозрительный вход с помощью службы федерации Active Directory (AD FS). Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1793: Confluence_Abnormal_Access: Подозрительный вход в приложение Confluence. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1808: Passwork_Abnormal_Access: Подозрительный вход в приложение Passwork. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1809: Gitlab_Abnormal_Access: Подозрительный вход в приложение GitLab. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1811: Teamcity_Abnormal_BuildConfig_Modify: Подозрительный вход и изменение конфигурации сборки в TeamCity. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля
kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись
profiling: PT-CR-2456: FreeIPA_Abnormal_Access: Подозрительная аутентификация в домене FreeIPA. Данные аутентификации отличаются от ранее собранного профиля
profiling: PT-CR-1920: PTAF_Abnormal_Access: Подозрительный вход в приложение PT AF. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-2059: Zabbix_Abnormal_Access: Подозрительный вход в систему Zabbix. Данные аутентификации отличаются от ранее собранного профиля
unix_mitre_attck_lateral_movement: PT-CR-487: Unix_SSH_Login_by_Daemons: Перемещение внутри периметра под именем сервисной учетной записи. Атакующие могут воспользоваться известными учетными записями служб для получения удаленного доступа к целевой системе
enterprise_1c_and_bitrix: PT-CR-668: Enterprise_1C_using_various_accounts_on_one_terminal: Вход в систему с одного узла под разными учетными записями
enterprise_1c_and_bitrix: PT-CR-669: Enterprise_1C_logon_of_significant_user: Пользователь вошел под учетной записью из черного списка
profiling: PT-CR-2337: PostgreSQL_Abnormal_Access: Подозрительный вход в СУБД PostgreSQL. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-2388: Arista_EOS_Abnormal_Access: Подозрительное подключение к оборудованию Arista. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-2137: Hashicorp_Vault_Abnormal_Access: Подозрительный вход в систему Vault. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-218: SecurityAdmin_Abnormal_Access: Подозрительный вход администратора безопасности. Данные аутентификации отличаются от собранного профиля
profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля
vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud.\nЗлоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки
profiling: PT-CR-2325: Grafana_Abnormal_Access: Подозрительный вход в Grafana. Данные аутентификации отличаются от собранного профиля

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Correlate other security systems with login information (e.g., a user has an active login session but has not entered the building or does not have VPN access).

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Monitor for an attempt by a user to gain access to a network or computing resource, often by the use of domain authentication services, such as the System Security Services Daemon (sssd) on Linux.

Notes: For Linux, auditing frameworks such as the audit daemon (auditd) can be used to alert on changes to log files that track authentication attempts, including /var/log/secure.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Monitor for suspicious account behavior across systems that share accounts, either user, admin, or service accounts. Examples: one account logged into multiple systems simultaneously; multiple accounts logged into the same machine simultaneously; accounts logged in at odd times or outside of business hours. Activity may be from interactive login sessions or process ownership from accounts being used to execute binaries on a remote system as a particular account.

A remote desktop logon, through Remote Desktop Protocol, may be typical of a system administrator or IT support, but only from select workstations. Monitoring remote desktop logons and comparing to known/approved originating systems can detect lateral movement of an adversary.

Multiple users logged into a single machine at the same time, or even within the same hour, do not typically occur in networks we have observed. Logon events are Windows Event Code 4624 for Windows Vista and above, 518 for pre-Vista. Logoff events are 4634 for Windows Vista and above, 538 for pre-Vista. Logon types 2, 3, 9 and 10 are of interest. For more details see the Logon Types table on Microsoft’s Audit Logon Events page.

Analytic 1 - Remote Desktop Logon

(source="*WinEventLog:Security" EventCode="4624") AuthenticationPackageName= "Negotiate" AND Severity= "Information" AND logon_type= "10"

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Audit local accounts permission levels routinely to look for situations that could allow an adversary to gain wide access by obtaining credentials of a privileged account. Limit the usage of local administrator accounts to be used for day-to-day operations that may expose them to potential adversaries.

For example, audit the use of service accounts in Kubernetes, and avoid automatically granting them access to the Kubernetes API if this is not required. Implementing LAPS may also help prevent reuse of local administrator credentials across a domain.

IDM1027НазваниеПарольные политикиОписание

Ensure that local administrator accounts have complex, unique passwords across all systems on the network.