Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1935: SupplyChain_TeamCity_Modify_Group: Пользователь изменил состав или роль группы в TeamCity. Злоумышленники могут выполнять подобные действия для сохранения доступа supply_chain: PT-CR-1781: SupplyChain_Mass_Maintainer_Or_Owner_Role_Assign: Многократное назначение ролей Maintainer или Owner supply_chain: PT-CR-1778: SupplyChain_Maintainer_Or_Owner_Role_Assign: Назначение роли Maintainer или Owner mongo_database: PT-CR-530: MongoDB_Grant_High_Role: Попытка повысить привилегии учетной записи enterprise_1c_and_bitrix: PT-CR-674: Enterprise_1C_Manipulate_User_With_Critical_Roles: Изменена или удалена учетная запись критически важного пользователя enterprise_1c_and_bitrix: PT-CR-678: Enterprise_1C_Multiple_User_Unlock: Массовая разблокировка учетных записей enterprise_1c_and_bitrix: PT-CR-675: Enterprise_1C_Multiple_User_Password_Change: Многократная смена пароля к одной и той же учетной записи mssql_database: PT-CR-417: MSSQL_Login_Configuration_Change: Попытка изменить настройки имени входа в базу данных mssql_database: PT-CR-405: MSSQL_Administrator_Role_Manipulation: Попытка назначить роль администратора учетной записи kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись kaspersky: PT-CR-1848: Kaspersky_Add_Role_To_User: Пользователь добавил новые права пользователю или группе pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет vulnerabilities: PT-CR-2199: CVE_2023_7028_Gitlab_Password_Reset: Эксплуатация уязвимости CVE-2023-7028 в Gitlab Community Edition и Enterprise Edition. Уязвимость позволяет доставлять письма о сбросе пароля учетной записи пользователя на непроверенные адреса электронной почты vulnerabilities: PT-CR-1369: Windows_Roaming_Credential_Used: Изменение LDAP-атрибутов msPKIAccountCredentials и msPKIRoamingTimestamp, которое свидетельствует об экплуатации уязвимости системы Windows Credential Roaming, позволяющей сделать запись в любой файл от имени пользователя-жертвы mitre_attck_privilege_escalation: PT-CR-2656: Changing_UAC_Flags: Изменены критически важные атрибуты контроля учетных записей (userAccountControl) пользователя или узла microsoft_mecm: PT-CR-1877: MECM_Create_New_Roles: Создание новой роли в MECM microsoft_mecm: PT-CR-1875: MECM_Privileges_Escalation_Via_Role: Повышение привилегий для пользователя в MECM microsoft_mecm: PT-CR-1874: MECM_Not_Allowed_Operation_With_Roles: Попытка повысить привилегии с помощью ролей в MECM mitre_attck_impact: PT-CR-496: Remove_Account_From_Sensitive_Group: Обнаружение попыток удалить учетную запись из группы, значимой для ИБ (табличный список Significant_Windows_Groups) mysql_database: PT-CR-624: MySQL_Permissions_Operation: Попытка изменить права учетной записи mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя unix_mitre_attck_persistence: PT-CR-1673: Unix_Suspicious_Etc_Modify: Изменение системных файлов microsoft_sharepoint: PT-CR-2109: Sharepoint_Grant_Critical_Role: Пользователю назначена критически важная роль для SharePoint microsoft_sharepoint: PT-CR-2115: Sharepoint_Grant_User_Access: Пользователь получил доступ на вход на сервер SharePoint zabbix: PT-CR-2048: Zabbix_User_Multiple_Unlock: Массовая разблокировка учетных записей в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии zabbix: PT-CR-2050: Zabbix_Critical_Group_Manipulate: Пользователь выполнил действие с критически важной группой в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2052: Zabbix_Critical_Role_Manipulate: Пользователь выполнил действие с критически важной ролью в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2054: Zabbix_User_Multiple_Password_Change: Пользователь многократно сменил пароль в системе Zabbix. Это может быть действием злоумышленника с целью закрепиться в системе zabbix: PT-CR-2051: Zabbix_Critical_User_Manipulate: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы freeipa: PT-CR-1958: FreeIPA_Multiple_User_Password_Change: Многократная смена пароля пользователя freeipa: PT-CR-1957: FreeIPA_User_Manipulate_With_Critical_User: Изменена учетная запись критически важного пользователя sap_java_suspicious_user_activity: PT-CR-543: SAPASJAVA_User_Password_Changed: Пароль учетной записи был изменен несколько раз sap_java_suspicious_user_activity: PT-CR-534: SAPASJAVA_Assign_User_To_Admin_Group: Пользователь добавлен в группу администраторов sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_Changed_For_SAP_Standard_Users_And_Logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью sap_java_suspicious_user_activity: PT-CR-535: SAPASJAVA_Authorization_Assignment_By_Non_Admin_User: Пользователь добавлен в группу пользователем, не являющимся администратором web_servers_abnormal_activity: PT-CR-1976: Web_Servers_Abnormal_Activity_Modify_User_Privileges: Злоумышленник может редактировать профили пользователей, чтобы изменить их привилегии drweb: PT-CR-2069: DrWeb_Admin_Account_Modify: Выполнено действие с учетной записью администратора. Выполнение действий с учетной записью администратора может сохранить или расширить доступ к системам и привести к обходу политик безопасности network_devices_compromise: PT-CR-2284: ViPNet_Policy_Manager_User_Privileges_Modify: Изменены привилегии пользователя mitre_attck_persistence: PT-CR-1945: Machine_Account_Attribute_Manipulation: Изменен атрибут машинной учетной записи mitre_attck_persistence: PT-CR-432: Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу mitre_attck_persistence: PT-CR-1862: Add_User_To_Group: Попытка добавить пользователя в группу mitre_attck_persistence: PT-CR-1348: RID_Hijacking_Persistence: Закрепление путем перехвата RID учетной записи mitre_attck_persistence: PT-CR-2499: KRBTGT_Delegation: Для учетной записи krbtgt настроено ограниченное делегирование на основе ресурсов. Это позволит злоумышленникам сгенерировать билет проверки подлинности (TGT) и закрепиться в системе sap_suspicious_user_activity: PT-CR-230: SAPASABAP_Assigning_Yourself_Privileges: Пользователь назначил себе привилегии в системе sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе clickhouse: PT-CR-1566: ClickHouse_Grant_All_Roles: Обнаружена попытка изменения прав или роли пользователя apache_cassandra_database: PT-CR-2087: Apache_Cassandra_Grant_All_Permissions: Попытка выдать роли максимальные привилегии. Это может быть действием злоумышленника с целью скрыть свою активность с помощью привилегированной учетной записи microsoft_exchange: PT-CR-2360: Exchange_Critical_Group_Manipulate: Пользователь изменил или удалил критически важную группу в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии или нарушить доступность системы microsoft_exchange: PT-CR-2411: Exchange_Illegal_Distribution_Group_Modify: Изменение групп Active Directory с возможностью автоматического добавления пользователей microsoft_exchange: PT-CR-2356: Exchange_Role_Assignment_Policy_Actions: Пользователь создал или изменил политику назначения ролей управления в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии microsoft_exchange: PT-CR-2355: Exchange_Admin_Role_Actions: Пользователь выполнил действие с ролью управления в системе Exchange. Это может свидетельствовать о попытке злоумышленника повысить привилегии или нарушить доступность системных ресурсов microsoft_exchange: PT-CR-2434: Exchange_Distribution_Group_Member_Added: Попытка добавить пользователя в группу рассылки vmware_aria: PT-CR-2380: Aria_Operations_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам к Aria Operations vmware_aria: PT-CR-2381: AOFL_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам в Aria Operations for Logs vmware_aria: PT-CR-2368: Aria_Operations_Change_Admin_Password_Via_CLI: Изменение пароля администратора в Aria Operations из командной строки без указания старого пароля может свидетельствовать о попытке злоумышленника блокировать доступ владельцу и (или) получить доступ к данным Aria Operations active_directory_attacks: PT-CR-653: AdminSDHolder_Modification_Attack: Добавлено значение в свойства контейнера AdminSDHolder, обновляющего разрешения защищенных объектов с определенной периодичностью. Это позволяет злоумышленнику получить привилегированный доступ и закрепиться в инфраструктуре active_directory_attacks: PT-CR-831: Computer_Delegation_Configured: В домене настроен один из видов делегирования: неограниченное делегирование, ограниченное делегирование или ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку, чтобы получить TGT или TGS-билеты пользователей, повысить привилегии и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1984: Machine_Account_Quota_Changes: Изменен LDAP-атрибут MS-DS-Machine-Account-Quota (количество учетных записей компьютеров, которые пользователь может создать в домене). Это может быть признаком создания новой учетной записи компьютера active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь переименовал объект AD или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может свидетельствовать об атаке sAMAccountName spoofing. Она может позволить злоумышленнику получить TGT-билет, например на имя контроллера домена, закрепиться в системе и повысить свои привилегии active_directory_attacks: PT-CR-1343: PowerViewPy_RBCD_Attack: В домене настроено ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку для получения TGS-билета атакуемой учетной записи для доступа с правами администратора к серверу, предназначенному для функционирования сервиса. После этого злоумышленник может повысить привилегии и выполнить горизонтальное перемещение на другие узлы инфраструктуры active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя hacking_tools: PT-CR-1947: Powermad_Usage: Использование утилиты Powermad для эксплуатации атрибутов учетных записей AD security_code_secret_net_lsp: PT-CR-1895: SecretNet_LSP_Manipulate_User_With_Critical_Roles: Изменение критически важной учетной записи security_code_secret_net_lsp: PT-CR-1890: SecretNet_LSP_User_Elevating: Повышение привилегий пользователя security_code_secret_net_lsp: PT-CR-1887: SecretNet_LSP_Multiple_User_Password_Change: Многократная смена пароля одной и той же учетной записи postgresql_database: PT-CR-2334: PostgreSQL_Assignment_Sensitive_Privilege: Назначение чувствительных привилегий может привести к эскалации привилегий суперпользователя