Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2296: VK_Cloud_Image_From_Marketplace_Creation: Пользователь создал или использовал образ из каталога "Маркетплейс" для создания виртуальной машины, что может свидетельствовать о попытке злоумышленника использовать версию образа, содержащую уязвимости mitre_attck_defense_evasion: PT-CR-938: PowerShell_CLM_Bypass: Попытка обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-2558: NTLM_Downgrade: Изменены разделы реестра, отвечающие за версию протокола аутентификации NTLM. Это может быть признаком атаки NTLM Downgrade, в ходе которой злоумышленник понижает версию протокола, чтобы ослабить защиту передаваемых данных mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_execution: PT-CR-945: Subrule_PowerShell_CLM_Bypass_4104: На основе событий журнала блоков сценариев PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage mitre_attck_execution: PT-CR-944: Subrule_PowerShell_CLM_Bypass_4103: На основе событий журнала модуля PowerShell обнаружены команды обхода языкового режима PowerShell ConstrainedLanguage pt_application_firewall: PT-CR-636: PTAF_Old_Or_Unknown_HTTP_Version: Попытка подключения по устаревшему протоколу hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue active_directory_attacks: PT-CR-1203: Abuse_Kerberos_RC4: Возможная эксплуатация уязвимости CVE-2022-33679 в Kerberos. Эта уязвимость позволяет злоумышленникам провести сеанс от имени прошедшего аутентификацию пользователя и выполнить произвольный код на скомпрометированном узле. Таким способом злоумышленники могут получить учетные данные пользователей и горизонтально переместиться на другие узлы инфраструктуры