T1213.002: Sharepoint
Злоумышленники могут извлекать ценные данные из репозиториев SharePoint. SharePoint часто содержит полезную для злоумышленника информацию о структуре и функциональности внутренних сети и систем. Например, в SharePoint может храниться следующая информация, представляющая ценность для злоумышленников:
- Политики, процедуры и стандарты
- Схемы физических и логических сетей
- Схемы архитектуры систем
- Техническая документация системы
- Учетные данные тестировщиков и разработчиков
- Графики работ и проектов
- Фрагменты исходного кода
- Ссылки на общие сетевые и другие внутренние ресурсы
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев SharePoint. Отслеживайте доступ привилегированных пользователей (к примеру, администраторов домена Active Directory, предприятия или схемы) к репозиториям Microsoft SharePoint и включите уведомления об этих событиях — эти учетные записи не должны использоваться для доступа к информационным репозиториям. По возможности отслеживайте пользователей, которые извлекают и просматривают большое количество документов и страниц, а также включите уведомления об этих событиях. Такое поведение может указывать на попытки извлечения всех данных из репозитория с помощью программных средств. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA). |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте попытки входа в систему Microsoft SharePoint — в ней можно настроить уведомления о попытках доступа к определенным страницам и документам . Обнаружить использование информационных репозиториев в злонамеренных целях бывает непросто из-за большой пользовательской базы. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев SharePoint. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях SharePoint. |
---|