Техника на mitre.org

T1213.002: Sharepoint

Злоумышленники могут извлекать ценные данные из репозиториев SharePoint. SharePoint часто содержит полезную для злоумышленника информацию о структуре и функциональности внутренних сети и систем. Например, в SharePoint может храниться следующая информация, представляющая ценность для злоумышленников:

Политики, процедуры и стандарты
Схемы физических и логических сетей
Схемы архитектуры систем
Техническая документация системы
Учетные данные тестировщиков и разработчиков
Графики работ и проектов
Фрагменты исходного кода
Ссылки на общие сетевые и другие внутренние ресурсы

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_o365: PT-CR-3125: O365_Collection_Via_File_Actions: Получен возможно несанкционированный доступ к файлам в облачном хранилище SharePoint или OneDrive microsoft_o365: PT-CR-3103: O365_Suspicious_Search: Действие со множеством поисковых запросов или с поисковыми запросами, содержащими подозрительные ключевые слова, в сервисе SharePoint Online, OneDrive Online, Exchange Online или в Центре безопасности и соответствия требованиям Microsoft 365. Это может быть признаком сбора данных для их последующей эксфильтрации

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев SharePoint. Отслеживайте доступ привилегированных пользователей (к примеру, администраторов домена Active Directory, предприятия или схемы) к репозиториям Microsoft SharePoint и включите уведомления об этих событиях — эти учетные записи не должны использоваться для доступа к информационным репозиториям. По возможности отслеживайте пользователей, которые извлекают и просматривают большое количество документов и страниц, а также включите уведомления об этих событиях. Такое поведение может указывать на попытки извлечения всех данных из репозитория с помощью программных средств. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему Microsoft SharePoint — в ней можно настроить уведомления о попытках доступа к определенным страницам и документам . Обнаружить использование информационных репозиториев в злонамеренных целях бывает непросто из-за большой пользовательской базы.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев SharePoint. Отслеживайте доступ привилегированных пользователей (к примеру, администраторов домена Active Directory, предприятия или схемы) к репозиториям Microsoft SharePoint и включите уведомления об этих событиях — эти учетные записи не должны использоваться для доступа к информационным репозиториям. По возможности отслеживайте пользователей, которые извлекают и просматривают большое количество документов и страниц, а также включите уведомления об этих событиях. Такое поведение может указывать на попытки извлечения всех данных из репозитория с помощью программных средств. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему Microsoft SharePoint — в ней можно настроить уведомления о попытках доступа к определенным страницам и документам . Обнаружить использование информационных репозиториев в злонамеренных целях бывает непросто из-за большой пользовательской базы.

Меры противодействия

ID	M1047	Название	Аудит	Описание	По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев SharePoint.

ID	M1018	Название	Управление учетными записями	Описание	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию.

ID	M1017	Название	Обучение пользователей	Описание	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях SharePoint.

ID	Название	Описание
M1047	Аудит	По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев SharePoint.
M1018	Управление учетными записями	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию.
M1017	Обучение пользователей	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях SharePoint.