Экспертиза MaxPatrol SIEM

clickhouse: PT-CR-1566: ClickHouse_Grant_All_Roles: Обнаружена попытка изменения прав или роли пользователя sap_suspicious_user_activity: PT-CR-230: SAPASABAP_Assigning_Yourself_Privileges: Пользователь назначил себе привилегии в системе sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_Changed_For_SAP_Standard_Users_And_Logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью sap_java_suspicious_user_activity: PT-CR-535: SAPASJAVA_Authorization_Assignment_By_Non_Admin_User: Пользователь добавлен в группу пользователем, не являющимся администратором sap_java_suspicious_user_activity: PT-CR-534: SAPASJAVA_Assign_User_To_Admin_Group: Пользователь добавлен в группу администраторов sap_java_suspicious_user_activity: PT-CR-543: SAPASJAVA_User_Password_Changed: Пароль учетной записи был изменен несколько раз microsoft_exchange: PT-CR-2360: Exchange_Critical_Group_Manipulate: Пользователь изменил или удалил критически важную группу в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии или нарушить доступность системы microsoft_exchange: PT-CR-2355: Exchange_Admin_Role_Actions: Пользователь выполнил действие с ролью управления в системе Exchange. Это может свидетельствовать о попытке злоумышленника повысить привилегии или нарушить доступность системных ресурсов microsoft_exchange: PT-CR-2411: Exchange_Illegal_Distribution_Group_Modify: Изменение групп Active Directory с возможностью автоматического добавления пользователей microsoft_exchange: PT-CR-2356: Exchange_Role_Assignment_Policy_Actions: Пользователь создал или изменил политику назначения ролей управления в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии microsoft_exchange: PT-CR-2434: Exchange_Distribution_Group_Member_Added: Попытка добавить пользователя в группу рассылки mitre_attck_impact: PT-CR-496: Remove_Account_From_Sensitive_Group: Обнаружение попыток удалить учетную запись из группы, значимой для ИБ (табличный список Significant_Windows_Groups) elasticsearch: PT-CR-2708: Elasticsearch_Critical_Users_Modify: Изменение конфигурации критически важного пользователя в базе данных Elasticsearch. Это может быть признаком компрометации учетной записи пользователя elasticsearch: PT-CR-2705: Elasticsearch_Critical_Role_Assign: Пользователю назначена критически важная роль в базе данных Elasticsearch hacking_tools: PT-CR-1947: Powermad_Usage: Использование утилиты Powermad для эксплуатации атрибутов учетных записей AD hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись kaspersky: PT-CR-1848: Kaspersky_Add_Role_To_User: Пользователь добавил новые права пользователю или группе zvirt: PT-CR-2819: ZVirt_Critical_Roles_Granted: Пользователь назначил критически важную роль учетной записи в системе виртуализации zVirt apache_cassandra_database: PT-CR-2087: Apache_Cassandra_Grant_All_Permissions: Попытка выдать роли максимальные привилегии. Это может быть действием злоумышленника с целью скрыть свою активность с помощью привилегированной учетной записи unix_mitre_attck_persistence: PT-CR-1673: Unix_Suspicious_Etc_Modify: Изменение системных файлов kontinent: PT-CR-2400: Kontinent_Account_Manipulation: Выполнено действие с учетной записью пользователя ресурса или администратора. Может свидетельствовать о попытке злоумышленника создать себе новую учетную запись или изменить свойства старой учетной записи, чтобы получить доступ к необходимым ресурсам сети или повысить привилегии. kontinent: PT-CR-2399: Kontinent_Role_Manipulation: Выполнено действие с ролью администратора. Злоумышленник может создавать, изменять или удалять роли администраторов, чтобы получить больше привилегий или лишить привилегий легитимных администраторов web_servers_abnormal_activity: PT-CR-1976: Web_Servers_Abnormal_Activity_Modify_User_Privileges: Злоумышленник может редактировать профили пользователей, чтобы изменить их привилегии active_directory_attacks: PT-CR-831: Computer_Delegation_Configured: В домене настроен один из видов делегирования: неограниченное делегирование, ограниченное делегирование или ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку, чтобы получить TGT или TGS-билеты пользователей, повысить привилегии и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1343: PowerViewPy_RBCD_Attack: В домене настроено ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку для получения TGS-билета атакуемой учетной записи для доступа с правами администратора к серверу, предназначенному для функционирования сервиса. После этого злоумышленник может повысить привилегии и выполнить горизонтальное перемещение на другие узлы инфраструктуры active_directory_attacks: PT-CR-1984: Machine_Account_Quota_Changes: Пользователь изменил атрибут MS-DS-Machine-Account-Quota (количество учетных записей компьютеров, которые пользователь может создать в домене). Это может быть признаком создания новой учетной записи компьютера active_directory_attacks: PT-CR-3060: BadSuccessor_Attack: Возможная атака BadSuccessor. В свойства делегированной управляемой учетной записи службы (dMSA) добавлена ссылка на другую учетную запись. Учетная запись dMSA может быть специально создана, а затем удалена, чтобы скрыть следы вредоносной активности active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь изменил SamAccountName объекта AD на несвойственное (наличие или отсутствие символа "$" в конце имени не соответствует типу объекта) или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может быть признаком атаки SamAccountName Spoofing, реализация которой позволит злоумышленникам повысить привилегии или провести атаку Targeted Timeroasting active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-653: AdminSDHolder_Modification_Attack: Добавлено значение в свойства контейнера AdminSDHolder, обновляющего разрешения защищенных объектов с определенной периодичностью. Это позволяет злоумышленнику получить привилегированный доступ и закрепиться в инфраструктуре active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена bitbucket: PT-CR-2701: Bitbucket_Important_Permission_Assign: Назначено важное разрешение в Bitbucket passwork: PT-CR-2614: Passwork_Admin_Role_Assignment: Пользователю назначена роль администратора в приложении Passwork. Это может быть действием злоумышленника с целью повысить привилегии или закрепиться в системе passwork: PT-CR-2608: Passwork_Critical_User_Manipulation: Пользователь выполнил подозрительное действие с учетной записью критически важного пользователя в менеджере паролей Passwork. К такими действиям относятся отзыв роли, сбор пароля, удаление пользователя. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы mitre_attck_persistence: PT-CR-1862: Add_User_To_Group: Попытка добавить пользователя в группу mitre_attck_persistence: PT-CR-2604: Unauthorized_Reset_Password_For_Sensitive_Users: Неожиданный сброс пароля критически важного пользователя. Это может быть признаком компрометации учетной записи пользователя mitre_attck_persistence: PT-CR-1348: RID_Hijacking_Persistence: Закрепление путем перехвата RID учетной записи mitre_attck_persistence: PT-CR-2499: KRBTGT_Delegation: Для учетной записи krbtgt настроено ограниченное делегирование на основе ресурсов. Это позволит злоумышленникам сгенерировать билет проверки подлинности (TGT) и закрепиться в системе mitre_attck_persistence: PT-CR-2594: Hidden_Account_Creation: Создана скрытая учетная запись с правами администратора с использованием нового раздела реестра с информацией о пользователе. Событие не зарегистрировано в журнале событий Windows mitre_attck_persistence: PT-CR-432: Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу mitre_attck_persistence: PT-CR-1945: Machine_Account_Attribute_Manipulation: Изменен атрибут машинной учетной записи drweb: PT-CR-2069: DrWeb_Admin_Account_Modify: Выполнено действие с учетной записью администратора. Выполнение действий с учетной записью администратора может сохранить или расширить доступ к системам и привести к обходу политик безопасности enterprise_1c_and_bitrix: PT-CR-678: Enterprise_1C_Multiple_User_Unlock: Массовая разблокировка учетных записей enterprise_1c_and_bitrix: PT-CR-674: Enterprise_1C_Manipulate_User_With_Critical_Roles: Изменена или удалена учетная запись критически важного пользователя enterprise_1c_and_bitrix: PT-CR-675: Enterprise_1C_Multiple_User_Password_Change: Многократная смена пароля к одной и той же учетной записи security_code_secret_net_lsp: PT-CR-1887: SecretNet_LSP_Multiple_User_Password_Change: Многократная смена пароля одной и той же учетной записи security_code_secret_net_lsp: PT-CR-1890: SecretNet_LSP_User_Elevating: Повышение привилегий пользователя security_code_secret_net_lsp: PT-CR-1895: SecretNet_LSP_Manipulate_User_With_Critical_Roles: Изменение критически важной учетной записи vipnet_tias: PT-CR-2627: ViPNet_TIAS_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью критически важного пользователя в системе ViPNet TIAS. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы mitre_attck_privilege_escalation: PT-CR-2656: Changing_UAC_Flags: Изменены критически важные атрибуты контроля учетных записей (userAccountControl) пользователя или узла mysql_database: PT-CR-624: MySQL_Permissions_Operation: Попытка изменить права учетной записи mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя indeed_pam: PT-CR-2895: Indeed_Important_PAM_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2897: Indeed_Important_PAM_Host_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя на узле в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2894: Indeed_Important_PAM_User_Group_Actions: Пользователь выполнил действие с критически важной группой в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2887: Indeed_Important_Applications_Actions: Подозрительные действия с приложениями из списка критически важных в приложении Indeed PAM pt_ngfw: PT-CR-2935: NGFW_SAM_Account_Name_Spoofing: PT NGFW обнаружил запрос TGT-билета от имени учетной записи, совпадающей с именем контроллера домена network_devices_compromise: PT-CR-2284: ViPNet_Policy_Manager_User_Privileges_Modify: Изменены привилегии пользователя samba_active_directory_attacks: PT-CR-2586: SambaDC_Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу. Атакующие могут добавить пользователя в критичные группы для повышения привилегий или закрепления на системе samba_active_directory_attacks: PT-CR-2585: SambaDC_Account_Attribute_Manipulation: Злоумышленники могут изменять атрибуты учетных записей для получения дополнительного доступа или закрепления в системе samba_active_directory_attacks: PT-CR-2589: SambaDC_Multiple_User_Password_Change: Многократная смена пароля пользователя microsoft_mecm: PT-CR-1875: MECM_Privileges_Escalation_Via_Role: Повышение привилегий для пользователя в MECM microsoft_mecm: PT-CR-1874: MECM_Not_Allowed_Operation_With_Roles: Попытка повысить привилегии с помощью ролей в MECM microsoft_mecm: PT-CR-1877: MECM_Create_New_Roles: Создание новой роли в MECM capabilities_account_manipulation: PT-CR-2879: CAP_User_Modified: Изменение учетной записи в прикладном ПО. Это может быть попыткой злоумышленника нарушить работу ПО, закрепиться в системе или повысить привилегии supply_chain: PT-CR-1778: SupplyChain_Maintainer_Or_Owner_Role_Assign: Назначение роли Maintainer или Owner supply_chain: PT-CR-1781: SupplyChain_Mass_Maintainer_Or_Owner_Role_Assign: Многократное назначение ролей Maintainer или Owner supply_chain: PT-CR-1935: SupplyChain_TeamCity_Modify_Group: Пользователь изменил состав или роль группы в TeamCity. Злоумышленники могут выполнять подобные действия для сохранения доступа mongo_database: PT-CR-530: MongoDB_Grant_High_Role: Попытка повысить привилегии учетной записи mssql_database: PT-CR-405: MSSQL_Administrator_Role_Manipulation: Попытка назначить роль администратора учетной записи mssql_database: PT-CR-417: MSSQL_Login_Configuration_Change: Попытка изменить настройки имени входа в базу данных microsoft_sharepoint: PT-CR-2109: Sharepoint_Grant_Critical_Role: Пользователю назначена критически важная роль для SharePoint microsoft_sharepoint: PT-CR-2115: Sharepoint_Grant_User_Access: Пользователь получил доступ на вход на сервер SharePoint postgresql_database: PT-CR-2334: PostgreSQL_Assignment_Sensitive_Privilege: Назначение чувствительных привилегий может привести к эскалации привилегий суперпользователя vulnerabilities: PT-CR-1369: Windows_Roaming_Credential_Used: Изменение LDAP-атрибутов msPKIAccountCredentials и msPKIRoamingTimestamp, которое свидетельствует об экплуатации уязвимости системы Windows Credential Roaming, позволяющей сделать запись в любой файл от имени пользователя-жертвы vulnerabilities: PT-CR-2199: CVE_2023_7028_Gitlab_Password_Reset: Эксплуатация уязвимости CVE-2023-7028 в Gitlab Community Edition и Enterprise Edition. Уязвимость позволяет доставлять письма о сбросе пароля учетной записи пользователя на непроверенные адреса электронной почты vmware_aria: PT-CR-2381: AOFL_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам в Aria Operations for Logs vmware_aria: PT-CR-2368: Aria_Operations_Change_Admin_Password_Via_CLI: Изменение пароля администратора в Aria Operations из командной строки без указания старого пароля может свидетельствовать о попытке злоумышленника блокировать доступ владельцу и (или) получить доступ к данным Aria Operations vmware_aria: PT-CR-2380: Aria_Operations_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам к Aria Operations zabbix: PT-CR-2054: Zabbix_User_Multiple_Password_Change: Пользователь многократно сменил пароль в системе Zabbix. Это может быть действием злоумышленника с целью закрепиться в системе zabbix: PT-CR-2050: Zabbix_Critical_Group_Manipulate: Пользователь выполнил действие с критически важной группой в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2051: Zabbix_Critical_User_Manipulate: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2048: Zabbix_User_Multiple_Unlock: Массовая разблокировка учетных записей в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии zabbix: PT-CR-2052: Zabbix_Critical_Role_Manipulate: Пользователь выполнил действие с критически важной ролью в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы freeipa: PT-CR-1958: FreeIPA_Multiple_User_Password_Change: Многократная смена пароля пользователя freeipa: PT-CR-1957: FreeIPA_User_Manipulate_With_Critical_User: Изменена учетная запись критически важного пользователя teleport: PT-CR-2535: Teleport_Critical_Role_Manipulation: Пользователь изменил или удалил критически важную роль в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2544: Teleport_Multiple_User_Modification: Пользователь изменил большое количество учетных записей пользователей за короткий промежуток времени. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы или повысить привилегии teleport: PT-CR-2534: Teleport_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью пользователя с критически важной ролью в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет