Экспертиза MaxPatrol SIEM

kontinent: PT-CR-2399: Kontinent_Role_Manipulation: Выполнено действие с ролью администратора. Злоумышленник может создавать, изменять или удалять роли администраторов, чтобы получить больше привилегий или лишить привилегий легитимных администраторов kontinent: PT-CR-2400: Kontinent_Account_Manipulation: Выполнено действие с учетной записью пользователя ресурса или администратора. Может свидетельствовать о попытке злоумышленника создать себе новую учетную запись или изменить свойства старой учетной записи, чтобы получить доступ к необходимым ресурсам сети или повысить привилегии. mitre_attck_impact: PT-CR-2418: NGate_Account_Access_Removal: Завершено большое число пользовательских сессий, что может свидетельствовать о компрометации учетной записи администратора системы CryptoPro NGate mitre_attck_impact: PT-CR-495: Remove_Access_To_Sensitive_Account: Обнаружение попыток заблокировать доступ к учетной записи, значимой для ИБ sap_suspicious_user_activity: PT-CR-249: SAPASABAP_Lock_Many_Accounts: Массовая блокировка учетных записей sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе hashicorp: PT-CR-2142: Hashicorp_Vault_Important_Secrets_Deleted: Злоумышленники могут удалять важные секреты для нарушения доступности или работоспособности отдельных систем hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ samba: PT-CR-2589: Samba_Multiple_User_Password_Change: Многократная смена пароля пользователя samba: PT-CR-2587: Samba_Multiple_User_Lock: Массовая блокировка пользователей samba: PT-CR-2586: Samba_Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу. Атакующие могут добавить пользователя в критичные группы для повышения привилегий или закрепления на системе samba: PT-CR-2585: Samba_Account_Attribute_Manipulation: Злоумышленники могут изменять атрибуты учетных записей для получения дополнительного доступа или закрепления в системе capabilities_account_manipulation: PT-CR-2878: CAP_User_Blocking_Or_Removing: Блокировка, отключение или удаление учетной записи в прикладном ПО. Эти действия могут быть предприняты злоумышленником для нарушения работы ПО capabilities_account_manipulation: PT-CR-2871: CAP_Group_Or_Role_Removing: Удаление произвольной группы пользователей и (или) роли в прикладном ПО. Это может быть попыткой злоумышленника затруднить реагирование и лишить доступа легитимных пользователей capabilities_account_manipulation: PT-CR-2880: CAP_User_Rights_Revoked: Удаление пользователя из группы и (или) отзыв роли у пользователя в прикладном ПО. Это может быть попыткой злоумышленника затруднить реагирование и лишить доступа легитимных пользователей elasticsearch: PT-CR-2708: Elasticsearch_Critical_Users_Modify: Изменение конфигурации критически важного пользователя в базе данных Elasticsearch. Это может быть признаком компрометации учетной записи пользователя elasticsearch: PT-CR-2732: Elasticsearch_Remove_Users: Массовое удаление пользователей из базы данных Elasticsearch mongo_database: PT-CR-1955: MongoDB_Revoke_High_Role: У пользователя отозваны права администратора mongo_database: PT-CR-1954: MongoDB_Mass_Drop_User: Массовое удаление пользователей в MongoDB yandex_cloud: PT-CR-819: Yandex_Cloud_Symmetric_Key_Removal: Симментричный ключ удален yandex_cloud: PT-CR-1267: Yandex_Cloud_Symmetric_Key_Access_Manage: Изменены права доступа к симметричному ключу yandex_cloud: PT-CR-817: Yandex_Cloud_Secret_Access_Manage: Изменены права доступа к секрету yandex_cloud: PT-CR-810: Yandex_Cloud_Access_Key_Manipulation: Создан или удален ключ доступа mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя mysql_database: PT-CR-622: MySQL_Disconnect_User: Попытка прервать пользовательский сеанс vk_cloud: PT-CR-2102: VK_Cloud_Keypair_Operation: Пользователь не из списка разрешенных выполнил действие с ключевой парой. Это может свидетельствовать о попытке злоумышленника установить нелегитимное подключение к виртуальной машине по SSH или ограничить возможность легитимного подключения к узлу vk_cloud: PT-CR-2105: VK_Cloud_VM_Security_Group_Operation: Пользователь не из списка разрешенных изменил список групп безопасности виртуальной машины, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию apache_cassandra_database: PT-CR-2086: Apache_Cassandra_Revoke_All_Permissions: У пользователя отозваны все разрешения. Это может быть действием злоумышленника с целью лишить другого пользователя возможности противодействовать вредоносной активности active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) teleport: PT-CR-2534: Teleport_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью пользователя с критически важной ролью в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2543: Teleport_Multiple_User_Locks: Пользователь заблокировал большое количество учетных записей пользователей за короткий промежуток времени. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2530: Teleport_Critical_Lock_Created: Пользователь заблокировал критически важный объект в системе Teleport. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2535: Teleport_Critical_Role_Manipulation: Пользователь изменил или удалил критически важную роль в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2544: Teleport_Multiple_User_Modification: Пользователь изменил большое количество учетных записей пользователей за короткий промежуток времени. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы или повысить привилегии security_code_secret_net_lsp: PT-CR-1887: SecretNet_LSP_Multiple_User_Password_Change: Многократная смена пароля одной и той же учетной записи security_code_secret_net_lsp: PT-CR-1895: SecretNet_LSP_Manipulate_User_With_Critical_Roles: Изменение критически важной учетной записи microsoft_mecm: PT-CR-1898: MECM_Remove_Accounts: Удаление учетной записи из MECM indeed_pam: PT-CR-2894: Indeed_Important_PAM_User_Group_Actions: Пользователь выполнил действие с критически важной группой в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2887: Indeed_Important_Applications_Actions: Подозрительные действия с приложениями из списка критически важных в приложении Indeed PAM indeed_pam: PT-CR-2897: Indeed_Important_PAM_Host_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя на узле в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2895: Indeed_Important_PAM_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы sap_java_suspicious_user_activity: PT-CR-543: SAPASJAVA_User_Password_Changed: Пароль учетной записи был изменен несколько раз sap_java_suspicious_user_activity: PT-CR-542: SAPASJAVA_User_Locked_After_Too_Many_Password_Logon_Attempts: Пользователь заблокирован после нескольких неудачных попыток входа vmware_aria: PT-CR-2368: Aria_Operations_Change_Admin_Password_Via_CLI: Изменение пароля администратора в Aria Operations из командной строки без указания старого пароля может свидетельствовать о попытке злоумышленника блокировать доступ владельцу и (или) получить доступ к данным Aria Operations vmware_aria: PT-CR-2381: AOFL_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам в Aria Operations for Logs vmware_aria: PT-CR-2370: AOFL_Role_Manage: Появление новой роли с критически важными разрешениями может свидетельствовать о попытке злоумышленника повысить привилегии и (или) закрепиться в системе Aria Operations for Logs vmware_aria: PT-CR-2380: Aria_Operations_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам к Aria Operations vmware_aria: PT-CR-2382: Aria_Operations_Admin_Panel_Admin_Locked_Too_Many_Logons: Пользователь заблокирован. Блокировка пользователя может свидетельствовать о попытке злоумышленника блокировать доступ к учетной записи в интерфейсе администрирования Aria Operations vmware_aria: PT-CR-2377: AOFL_User_Locked_Too_Many_Logons: Блокировка пользователя может свидетельствовать о попытке злоумышленника блокировать доступ к учетной записи в Aria Operations for Logs network_devices_compromise: PT-CR-1351: Checkpoint_Admin_Modification: Добавление или удаление администраторов на устройстве Checkpoint zabbix: PT-CR-2051: Zabbix_Critical_User_Manipulate: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2054: Zabbix_User_Multiple_Password_Change: Пользователь многократно сменил пароль в системе Zabbix. Это может быть действием злоумышленника с целью закрепиться в системе zabbix: PT-CR-2052: Zabbix_Critical_Role_Manipulate: Пользователь выполнил действие с критически важной ролью в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2050: Zabbix_Critical_Group_Manipulate: Пользователь выполнил действие с критически важной группой в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы vipnet_tias: PT-CR-2628: ViPNet_TIAS_Mass_Deletion_Of_Users: Пользователь удалил учетные записи в системе ViPNet TIAS. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы vipnet_tias: PT-CR-2627: ViPNet_TIAS_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью критически важного пользователя в системе ViPNet TIAS. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы passwork: PT-CR-2613: Passwork_Mass_Deletion_Of_Users: Пользователь удалил учетные записи в приложении Passwork. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы passwork: PT-CR-2608: Passwork_Critical_User_Manipulation: Пользователь выполнил подозрительное действие с учетной записью критически важного пользователя в менеджере паролей Passwork. К такими действиям относятся отзыв роли, сбор пароля, удаление пользователя. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы microsoft_exchange: PT-CR-2355: Exchange_Admin_Role_Actions: Пользователь выполнил действие с ролью управления в системе Exchange. Это может свидетельствовать о попытке злоумышленника повысить привилегии или нарушить доступность системных ресурсов microsoft_exchange: PT-CR-2353: Exchange_Mass_Deletion_Of_Mailboxes: Пользователь удалил почтовые ящики в системе Exchange. Это может быть попыткой злоумышленника сделать недоступными системные и сетевые ресурсы microsoft_exchange: PT-CR-2360: Exchange_Critical_Group_Manipulate: Пользователь изменил или удалил критически важную группу в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии или нарушить доступность системы microsoft_exchange: PT-CR-2362: Exchange_Mass_Deletion_Of_Groups: Пользователь удалил группы в системе Exchange. Это может быть попыткой злоумышленника сделать недоступными системные и сетевые ресурсы freeipa: PT-CR-1959: FreeIPA_Multiple_User_Lock: Массовая блокировка пользователей freeipa: PT-CR-1958: FreeIPA_Multiple_User_Password_Change: Многократная смена пароля пользователя freeipa: PT-CR-1956: FreeIPA_Privileged_Account_Blocking: Заблокирован пользователь с повышенными привилегиями enterprise_1c_and_bitrix: PT-CR-677: Enterprise_1C_Multiple_User_Lock: Массовая блокировка учетных записей enterprise_1c_and_bitrix: PT-CR-675: Enterprise_1C_Multiple_User_Password_Change: Многократная смена пароля к одной и той же учетной записи mitre_attck_persistence: PT-CR-2604: Unauthorized_Reset_Password_For_Sensitive_Users: Неожиданный сброс пароля критически важного пользователя. Это может быть признаком компрометации учетной записи пользователя