Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки postfix: PT-CR-2716: Postfix_User_Enumeration: Перечисление существующих в системе пользователей через SMTP. Полученная информация может быть использована злоумышленником для дальнейших атак (например, подбор пароля к списку существующих пользователей) pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM mitre_attck_discovery: PT-CR-320: Account_Or_Group_Discovery_Via_SAM_R: Обнаружена попытка получить список учетных записей через SAM-R mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-1080: Delegated_Accounts_Recon: Выгрузка учетных записей с привилегиями делегирования из Active Directory mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-77: User_Object_Ldap_Request: Выгрузка объектов типа "пользователь" из Active Directory mitre_attck_discovery: PT-CR-1086: Users_Discovery_Via_Skype: Пользователи домена выгружены через Skype (Lync) mitre_attck_discovery: PT-CR-319: Account_Discovery: Обнаружена попытка получить список учетных записей mitre_attck_discovery: PT-CR-2548: LocalGroupListMembers_From_Remote_Host: Перечисление членов локальной группы безопасности с удаленного узла mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump mitre_attck_discovery: PT-CR-88: SPN_LDAP_Requests: Выгрузка объектов типа "сервис" из Active Directory freeipa: PT-CR-2167: FreeIPA_Kerbrute_Userenum: Утилита Kerbrute использована в домене FreeIPA в режиме userenum с целью обнаружить существующие имена учетных записей freeipa: PT-CR-2601: FreeIPA_Directory_Data_Collection: В сети использована утилита типа JXplorer для сбора информации о доменных компьютерах, пользователях, группах и т.п. в домене FreeIPA freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки freeipa: PT-CR-2577: FreeIPA_Cache_Credentials_Access: Доступ к файлу cache_credentials, содержащему кэшированные учетные данные пользователей в домене freeipa: PT-CR-2576: FreeIPA_Id2entry_Dump: Доступ к файлу id2entry.db, содержащему информацию о пользователях в домене clickhouse: PT-CR-1570: ClickHouse_Account_Discovery: Обнаружена попытка получения списка учетных записей пользователей clickhouse: PT-CR-1573: ClickHouse_Users_Privileges_Discovery: Обнаружена попытка получения информации о привилегиях пользователей bruteforce: PT-CR-887: Windows_Password_Spraying: Распыление пароля на узле Windows. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене active_directory_attacks: PT-CR-1986: Machine_Account_Quota_Access: Пользователь получил доступ к атрибуту MS-DS-Machine-Account-Quota (количество учетных записей компьютеров, которые пользователь может создать в домене). Злоумышленники могут просматривать этот атрибут для его последующего изменения mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-841: SilentHound_AD_Enumeration: Учетные данные из Active Directory получены методом перебора с помощью SilentHound hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS) hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах