Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1763: SupplyChain_Branch_Unprotect: Пользователь снял защиту с ветки или группы веток yandex_cloud: PT-CR-1257: Yandex_Cloud_Kubernetes_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-1251: Yandex_Cloud_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-1260: Yandex_Cloud_Kubernetes_Nodes_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки группы узлов кластера acronis: PT-CR-2238: Acronis_Disabling_Active_Protection: Отключение службы Active Protection приложения Acronis vsphere_suspicious_user_activity: PT-CR-517: Mass_Disabling_Protective_VM: Отключены несколько виртуальных машин с установленным защитным ПО vsphere_suspicious_user_activity: PT-CR-514: Disabling_Protective_VM: Отключена виртуальная машина с установленным защитным ПО mssql_database: PT-CR-557: MSSQL_Enable_Remote_Access: Попытка включить параметр Remote Access сервера баз данных mssql_database: PT-CR-406: MSSQL_Audit_Configuration_Change: Попытка изменить настройки аудита базы данных mssql_database: PT-CR-558: MSSQL_Enable_Remote_Admin_Connection: Попытка включить параметр Remote Admin Connections сервера баз данных mssql_database: PT-CR-413: MSSQL_Enable_Nonsecure_Parameter: Попытка включить потенциально небезопасный параметр сервера баз данных mssql_database: PT-CR-561: MSSQL_Policy_Check_Off: Попытка изменить политики паролей стандарта сервера Windows, применяемые к именам входа SQL kaspersky: PT-CR-743: Kaspersky_Endpoint_Disable: Остановлен Kaspersky Endpoint Security kaspersky: PT-CR-1847: Kaspersky_Admgroup_Changed: Устройство перемещено в новую группу администрирования kaspersky: PT-CR-1844: Kaspersky_Remove_AV_By_Task: Создана и запущена задача удаленной деинсталляции антивируса kaspersky: PT-CR-1832: Kaspersky_Modify_Administration_Policy: Изменена политика администрирования Kaspersky Security Center kaspersky: PT-CR-744: Kaspersky_Endpoint_Policy_Modification: Изменена политика Kaspersky Endpoint Security microsoft_mecm: PT-CR-1878: MECM_Change_Configuration: Изменение существующей роли или добавление новой роли в MECM hashicorp: PT-CR-2136: Hashicorp_Vault_Policy_Revoked: Пользователь удалил политику безопасности hashicorp: PT-CR-2133: Hashicorp_Vault_Policy_Modified: Пользователь создал или отредактировал политику безопасности mysql_database: PT-CR-614: MySQL_Audit_Disable: Попытка отключить аудит базы данных mitre_attck_execution: PT-CR-945: Subrule_PowerShell_CLM_Bypass_4104: На основе событий журнала блоков сценариев PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_execution: PT-CR-944: Subrule_PowerShell_CLM_Bypass_4103: На основе событий журнала модуля PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-563: Disable_Restricted_Admin_Mode: Процесс изменил значение ключа реестра для отключения режима Restricted Admin mitre_attck_defense_evasion: PT-CR-583: Windows_Defender_Disable: Антивирус Windows Defender отключен или для него добавлено исключение mitre_attck_defense_evasion: PT-CR-562: Disable_Credential_Guard: Функция Credential Guard отключена в реестре mitre_attck_defense_evasion: PT-CR-312: Disable_LSA_Protection: Отключена защита LSA mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-2489: SysmonQuiet_Usage: Получен доступ к процессу Sysmon, что может быть признаком активности модуля SysmonQuiet. SysmonQuiet — это aggressor script для Cobalt Strike (для его работы требуются привилегии SeDebugPrivilege). SysmonQuiet использует метод Reflective DLL Loading, который автоматически обнаруживает процесс Sysmon и изменяет его EtwEventWrite API, вызывая сбои в Sysmon, пока процесс и его потоки продолжают работать mitre_attck_defense_evasion: PT-CR-1724: Blackout_AV_Disabling: Отключение антивируса c помощью утилиты Blackout microsoft_sharepoint: PT-CR-2110: Sharepoint_Significant_Feature_Manipulation: Важный компонент установлен или удален на ферме SharePoint zabbix: PT-CR-2053: Zabbix_Resource_Update: Пользователь изменил объект в системе Zabbix. Это может быть действием злоумышленника с целью замаскировать вредоносные программы, инструменты или действия в системе или повысить привилегии zabbix: PT-CR-2056: Zabbix_Resource_Add: Пользователь добавил объект в систему Zabbix. Это может быть действием злоумышленника с целью замаскировать вредоносные программы, инструменты или действия в системе zabbix: PT-CR-2046: Zabbix_Auth_Settings_Changed: Изменены параметры проверки подлинности в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или ослабить защиту системы zabbix: PT-CR-2045: Zabbix_Resource_Disable: Пользователь отключил ресурс в системе Zabbix. Это может быть действием злоумышленника с целью избежать обнаружения вредоносных программ, инструментов или действий в системе zabbix: PT-CR-2055: Zabbix_Resource_Delete: Пользователь удалил объект из системы Zabbix. Это может быть действием злоумышленника с целью замаскировать вредоносные программы, инструменты или действия в системе или нарушить работоспособность системы web_servers_abnormal_activity: PT-CR-1972: Web_Servers_Abnormal_Activity_Defense_Evasion: Злоумышленник может менять параметры журналирования, чтобы скрыть свои действия, и правила межсетевого экрана, чтобы продвигаться по сети drweb: PT-CR-2070: DrWeb_Endpoint_Disable: Отключены модули антивируса на станции под управлением Dr.Web. Это может ослабить защиту станции drweb: PT-CR-2066: DrWeb_Endpoint_Policy_Modification: Изменены права, конфигурация или компоненты политики Dr.Web. Это может ослабить защиту станции unix_mitre_attck_defense_evasion: PT-CR-1655: Unix_Disable_AppArmor: Отключение служб безопасности на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность unix_mitre_attck_defense_evasion: PT-CR-1653: Unix_Disable_SELinux: Отключение системы контроля доступа на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность network_devices_compromise: PT-CR-2126: Cumulus_Disable_Logging: Служба отправки журналов отключена network_devices_compromise: PT-CR-1818: S_Terra_Gate_Disable_Logging: Служба отправки журналов отключена mitre_attck_persistence: PT-CR-2702: Outlook_Malicious_Actions: Изменение наиболее опасных параметров в клиенте Outlook путем редактирования разделов реестра. Злоумышленник может изменить параметры в Outlook, чтобы выполнить произвольный код, повысить привилегии или закрепиться в системе antimalware: PT-CR-2083: KSMG_Configuration_Modified: Импорт конфигурации Kaspersky Secure Mail Gateway clickhouse: PT-CR-1575: ClickHouse_Config_Applied: Обнаружена попытка применения параметров файла конфигурации microsoft_exchange: PT-CR-2358: Exchange_Owa_Policy_Actions: Пользователь выполнил действие с политикой для Microsoft Office Outlook Web App в системе Exchange. Это может быть попыткой злоумышленника ослабить или отключить защитные механизмы microsoft_exchange: PT-CR-2359: Exchange_Remove_MalwareFilter_Policy: Удаление политики фильтров ВПО из организации Exchange. Это может быть действием злоумышленника с целью ослабить или отключить защитные механизмы microsoft_exchange: PT-CR-2354: Exchange_Journal_Rule_Actions: Пользователь выполнил действие с правилом журнала в системе Exchange. Это может быть попыткой злоумышленника скрыть свои действия или нарушить доступность системных и сетевых ресурсов vmware_aria: PT-CR-2373: AOFL_Massive_Alerts_Remove: Массовое удаление предупреждений может свидетельствовать о попытке злоумышленника скрыть действия над объектами мониторинга Aria Operations for Logs vmware_aria: PT-CR-2371: AOFL_Massive_Change_Agent_Groups: Массовое изменение групп агентов может свидетельствовать о попытке злоумышленника скрыть действия над объектами мониторинга Aria Operations for Logs vmware_aria: PT-CR-2376: AOFL_Change_Global_Agent_Config: Изменение глобальной конфигурации агентов может свидетельствовать о попытке ограничить данные, собираемые с объектов мониторинга Aria Operations for Logs infowatch_tm: PT-CR-2513: Infowatch_TM_Notifications_Manipulation: Изменен шаблон уведомления безопасности. Это может привести к увеличению времени реакции на недопустимые события infowatch_tm: PT-CR-2516: Infowatch_TM_Policy_Manipulation: Изменение политик и правил может привести к ослаблению защиты на узлах redis: PT-CR-1988: Redis_Config_Rewrite: Конфигурационный файл перезаписан redis: PT-CR-1987: Redis_Possible_Security_Attack_Or_Maxmemory_Setting: В Redis сработали механизмы предупреждения. Это может быть вызвано межсайтовым скриптингом или подозрительным изменением параметра конфигурации "maxmemory" security_code_secret_net_lsp: PT-CR-1893: SecretNet_LSP_Policy_Change: Изменение политики Secret Net LSP security_code_secret_net_lsp: PT-CR-1885: SecretNet_LSP_Disable_Rule: Отключение или удаление правила Secret Net LSP postgresql_database: PT-CR-1831: PostgreSQL_Disable_Security_Options: Отключение параметров безопасности базы данных PostgreSQL снижает уровень защищенности данных, хранящихся в ней