T1213.002: Sharepoint

Злоумышленники могут извлекать ценные данные из репозиториев SharePoint. SharePoint часто содержит полезную для злоумышленника информацию о структуре и функциональности внутренних сети и систем. Например, в SharePoint может храниться следующая информация, представляющая ценность для злоумышленников:

  • Политики, процедуры и стандарты
  • Схемы физических и логических сетей
  • Схемы архитектуры систем
  • Техническая документация системы
  • Учетные данные тестировщиков и разработчиков
  • Графики работ и проектов
  • Фрагменты исходного кода
  • Ссылки на общие сетевые и другие внутренние ресурсы

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев SharePoint. Отслеживайте доступ привилегированных пользователей (к примеру, администраторов домена Active Directory, предприятия или схемы) к репозиториям Microsoft SharePoint и включите уведомления об этих событиях — эти учетные записи не должны использоваться для доступа к информационным репозиториям. По возможности отслеживайте пользователей, которые извлекают и просматривают большое количество документов и страниц, а также включите уведомления об этих событиях. Такое поведение может указывать на попытки извлечения всех данных из репозитория с помощью программных средств. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки входа в систему Microsoft SharePoint — в ней можно настроить уведомления о попытках доступа к определенным страницам и документам . Обнаружить использование информационных репозиториев в злонамеренных целях бывает непросто из-за большой пользовательской базы.

Меры противодействия

IDM1047НазваниеАудитОписание

По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев SharePoint.

IDM1018НазваниеУправление учетными записямиОписание

Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию.

IDM1017НазваниеОбучение пользователейОписание

Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях SharePoint.