Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа microsoft_mecm: PT-CR-1876: MECM_Distribute_Content: Передача пакета или приложения на точку распространения в MECM mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_By_Daemons: Запуск утилиты для передачи файлов от имени служебной учетной записи mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_Ingress_Tool_Transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_Via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mitre_attck_lateral_movement: PT-CR-224: Remote_Copying_Malicious_File: Обнаружена попытка скопировать потенциально вредоносный файл следующих расширений: hta, ps1, py, vbe, cs, csproj, proj, com, cmd, bat, vbs, js, xsl, sct mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin" hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32"