Экспертиза MaxPatrol SIEM

profiling: PT-CR-1033: App_1C_Enterprise_Object_Modify: Пользователь создал или изменил справочник в системе "1С:ERP" microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом mitre_attck_impact: PT-CR-1840: Hosts_File_Modify: Попытка изменить целостность файла hosts на узлах Windows и Unix unix_mitre_attck_persistence: PT-CR-1662: Unix_Suspicious_Home_Modify: Изменение файлов в домашнем каталоге одного из пользователей postgresql_database: PT-CR-1901: PostgreSQL_Update_Configuration: Обновление конфигурации базы данных PostgreSQL может затронуть параметры безопасности хранимых данных hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ clickhouse: PT-CR-1576: ClickHouse_Audit_Table_Modified: Обнаружена попытка изменения системных таблиц system.session_log и system.query_log clickhouse: PT-CR-1571: ClickHouse_Data_Manipulation: Обнаружена попытка внесения изменений в критически важную для СУБД таблицу clickhouse: PT-CR-1563: ClickHouse_Backup: Обнаружена попытка создания резервной копии объекта СУБД elasticsearch: PT-CR-2730: Elasticsearch_Delete_Index: Аномальное удаление индексов в базе данных Elasticsearch mysql_database: PT-CR-623: MySQL_Host_Cache_Table_Truncate: Попытка очистить таблицу кэша адресов mysql_database: PT-CR-2302: MySQL_Update_Configuration: Обновление конфигурации базы данных MySQL может затронуть параметры безопасности хранимых данных supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода supply_chain: PT-CR-1777: SupplyChain_File_Upload_To_Important_Repository: Пользователь загрузил файл в репозиторий, использовав нестандартную учетную запись или новый адрес supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_Via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_Protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО vsphere_suspicious_user_activity: PT-CR-519: Mass_Reconfiguring_Protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО capabilities_data_access: PT-CR-2883: CAP_Access_to_Sensitive_Data: Доступ к файлу со значимой информацией в прикладном ПО. Злоумышленник, который имеет доступ к таким данным, может нарушить их конфиденциальность, целостность или доступность capabilities_data_access: PT-CR-2900: CAP_Access_To_Sensitive_Database: Обращение к значимым базам данных. Злоумышленник может извлечь, изменить или удалить конфиденциальные данные, используя украденные учетные данные, уязвимости в системе или вредоносные запросы vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора security_code_secret_net_lsp: PT-CR-1891: SecretNet_LSP_Export_Backup: Экспорт конфигурации Secret Net LSP security_code_secret_net_lsp: PT-CR-1905: SecretNet_LSP_Manipulate_Critical_Data: Изменение объекта, для которого осуществляется контроль целостности Secret Net LSP security_code_secret_net_lsp: PT-CR-1892: SecretNet_LSP_Apply_Backup: Замена конфигурации Secret Net LSP indeed_pam: PT-CR-2885: Indeed_Important_Resources_Actions: Подозрительные действия с ресурсами из списка критически важных ресурсов в Indeed PAM network_devices_compromise: PT-CR-577: Cisco_ASA_Disable_Username_Hiding: На устройстве Cisco ASA включено сохранение имен пользователей в журнале в открытом виде it_bastion: PT-CR-2178: SKDPUNT_Sftp_Access_Failure: СКДПУ НТ регистрирует ошибки доступа на чтение или запись файлов по протоколу SFTP microsoft_exchange: PT-CR-2357: Exchange_Remove_Dismount_Mailbox_Database: Удаление или размонтирование базы данных Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов enterprise_1c_and_bitrix: PT-CR-676: Enterprise_1C_Manipulate_Critical_Data: Изменен критически важный документ