Экспертиза MaxPatrol SIEM

proxmox: PT-CR-2735: ProxMox_VE_Critical_VM_Container_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной или контейнером в системе виртуализации Proxmox. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети proxmox: PT-CR-2738: ProxMox_VE_Multiple_Storage_Remove: Удалено большое количество хранилищ данных в системе виртуализации Proxmox. Злоумышленники могут удалять большое количество хранилищ вместе с важными данными grafana_labs: PT-CR-2329: Grafana_Organization_Removed: Удалена организация в Grafana, что может привести к потере критически важных данных hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним hashicorp: PT-CR-2142: Hashicorp_Vault_Important_Secrets_Deleted: Злоумышленники могут удалять важные секреты для нарушения доступности или работоспособности отдельных систем clickhouse: PT-CR-1577: ClickHouse_Drop_Multiple_Tables: Обнаружена попытка удаления нескольких таблиц базы данных clickhouse: PT-CR-1578: ClickHouse_Drop_Database: Обнаружена попытка удаления базы данных elasticsearch: PT-CR-2730: Elasticsearch_Delete_Index: Аномальное удаление индексов в базе данных Elasticsearch zvirt: PT-CR-2822: ZVirt_Multiple_Storage_Remove: Удалено большое количество хранилищ данных в системе виртуализации zVirt. Злоумышленники могут удалять большое количество хранилищ вместе с важными данными mongo_database: PT-CR-527: MongoDB_Drop_Database: Попытка удалить базу данных mongo_database: PT-CR-531: MongoDB_Mass_Drop_Table: Попытка массового удаления таблиц в базе данных supply_chain: PT-CR-1773: SupplyChain_Important_Branch_Remove: Пользователь удалил отслеживаемую ветку apache_cassandra_database: PT-CR-2089: Apache_Cassandra_Drop_Keyspace: Попытка удалить пространство ключей. Это может быть действием злоумышленника с целью нарушить целостность данных capabilities_data_access: PT-CR-2883: CAP_Access_to_Sensitive_Data: Доступ к файлу со значимой информацией в прикладном ПО. Злоумышленник, который имеет доступ к таким данным, может нарушить их конфиденциальность, целостность или доступность capabilities_data_access: PT-CR-2899: CAP_Database_Table_Cleared: Очистка значимой таблицы в базе данных. Это может быть попыткой злоумышленника скрыть свою активность, уничтожить критически важные данные или нарушить работу системы indeed_pam: PT-CR-2887: Indeed_Important_Applications_Actions: Подозрительные действия с приложениями из списка критически важных в приложении Indeed PAM indeed_pam: PT-CR-2885: Indeed_Important_Resources_Actions: Подозрительные действия с ресурсами из списка критически важных ресурсов в Indeed PAM vmware_aria: PT-CR-2374: Aria_Operations_Remove_Critical_Resource: Удаление критически важного ресурса может свидетельствовать о попытке злоумышленника скрыть действия с объектами мониторинга Aria Operations vmware_aria: PT-CR-2384: Aria_Operations_Mass_Remove_Resources: Массовое удаление ресурсов может свидетельствовать о попытке злоумышленника скрыть действия над объектами мониторинга Aria Operations network_devices_compromise: PT-CR-1819: S_Terra_Gate_Delete_Files: Удалены файл или папка vipnet_tias: PT-CR-2626: ViPNet_TIAS_Mass_Deletion_Of_Resources: Пользователь удалил ресурсы системы ViPNet TIAS. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы passwork: PT-CR-2611: Passwork_Mass_Deletion_Of_Resources: Пользователь удалил ресурсы в приложении Passwork, включая пароли, сейфы, папки. Это может быть умышленным действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы. microsoft_exchange: PT-CR-2353: Exchange_Mass_Deletion_Of_Mailboxes: Пользователь удалил почтовые ящики в системе Exchange. Это может быть попыткой злоумышленника сделать недоступными системные и сетевые ресурсы microsoft_exchange: PT-CR-2357: Exchange_Remove_Dismount_Mailbox_Database: Удаление или размонтирование базы данных Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов microsoft_hyperv: PT-CR-2869: HyperV_Critical_VMs_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной в Hyper-V. Это может быть попыткой злоумышленника нарушить целостность и доступность системы acronis: PT-CR-2239: Acronis_Mass_Drop_Machine_Or_Backup_Plan: Попытка массового удаления резервных копий