История версий пакетов экспертиз

Пакет экспертиз от марта 2022

Поля событий

При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий:

Description - описание
CEFX.InfotecsEPPModule - ViPNet. Модуль
CEFX.InfotecsEPPHost - ViPNet. Имя источника
ECS.Log.Syslog.IdsSDID10812.Rev - ViPNet. Rev
ECS.Log.Syslog.IdsSDID10812.Gid - ViPNet. Gid
ECS.Log.Syslog.IdsSDID10812.Sid - ViPNet. Sid
ECS.Log.Syslog.IdsSDID10812.Desc - ViPNet. Desc
ECS.Source.ProcessName - ViPNet. Имя процесса
ECS.Source.UserName - ViPNet. Активная учетная запись пользователя
CEFX.InfotecsEPPThreatCat - ViPNet. Категория угрозы
CEFX.InfTIASRecommendations - ViPNet. Рекомендации от TIAS

Фильтры

Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.

WMI. Блокирование учетной записи после многочисленных неуспешных попыток
WMI. Обнаруживает удаление правила аудита
Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему
Syslog. ViPNet IDS NS. Изменение правил анализа. Добавление правила
Syslog. ViPNet IDS NS. Информационный уровень важности
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
Syslog. ViPNet IDS NS. ET MALWARE Webhancer Data Upload
Syslog. ViPNet IDS NS. Резервное копирование
Syslog. ViPNet IDS NS. Управление учетными записями
Syslog. ViPNet IDS NS. Изменение правил анализа
Syslog. ViPNet IDS NS. Изменения конфигурации
Syslog. ViPNet IDS NS. Состояния модулей
Syslog. ViPNet HW. Шаблон
Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
Syslog. ViPNet IDS NS. Шаблон для CEF
Syslog. ViPNet IDS NS. Шаблон для RFC 3164
Syslog. ViPNet TIAS. Важность 7 и выше
Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента
Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента
Syslog. ViPNet TIAS. Шаблон
Syslog. Все события
Syslog. ViPNet EPP. Контроль приложений
Syslog. ViPNet EPP. Неизвестный источник
Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
Syslog. ViPNet EPP. Мониторинг системных обновлений
Syslog. ViPNet IDS NS. Высокий уровень важности
Syslog. ViPNet IDS NS. Низкий уровень важности
Syslog. ViPNet IDS NS. Средний уровень важности
Syslog. ViPNet EPP. Контроль реестра
Syslog. ViPNet EPP. Контроль установки приложений
Syslog. ViPNet EPP. Логины пользователей
Syslog. ViPNet EPP. Системная активность
Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
Syslog. ViPNet EPP. Опасное событие
Syslog. ViPNet EPP. Сетевая активность /Правила обнаружения сетевых атак
WMI. Модификация ветвей реестра
WMI. Обнаружение Shellcode Base64
WMI. Обнаружение доступа к LSASS
Syslog. ViPNet EPP. Информационное событие
Syslog. ViPNet EPP. Критическое событие
WMI. Обнаружение запуска скрипта PowerShell в AppData
SQL. Kaspersky. Не установлено антивирусное ПО
SQL. Kaspersky. Остановка задачи
SQL. Kaspersky. Ошибка активации
SQL. Kaspersky. Срабатывание защиты
SQL. Kaspersky. Срабатывание самозащиты
WMI. Обнаружение инъекции Mavinject
SQL. Все события
WMI. Обнаружение операций с учетными записями пользователей
WMI. Обнаружение подозрительного дескриптора процесса в LSASS
WMI. Блокирования учетной записи после многочисленных неуспешных попыток
WMI. Обнаружение входа в систему с использованием протокола NTLM
WMI. Обнаружение подозрительных SVCHOST процессов
WMI. Обнаружение попытки входа под заблокированной учетной записью
WMI. Обнаружение сброса/удаления журналов событий
WMI. Обнаружение установки модуля собственного кода IIS
WMI. Обнаружение удаления бекапов
WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
WMI. Подозрительная активность RASdial
Syslog. ViPNet EPP. Важное событие
Syslog. Запуск NetCat
WMI. Обнаружение возможной разведывательной деятельности
WMI. Обнаружение запуска PsExec
WMI. Обнаружение использования истории SID
Syslog. ViPNet EPP. Изменения учетных записей
WMI. Обнаружение доступа к WCEaux.dll
WMI. Обнаружение слабого шифрования в учетных записях
WMI. Обнаружение использования PlugX из необычного расположения
WMI. Обнаружение подозрительного процесса MSIEXEC
WMI. Обнаружение подозрительной активности Rundll32
WMI. Обнаружение синхронизации Miimikatz DC
Syslog. ViPNet EPP. Контроль выполняемых команд
WMI. Обнаружение smbexec.py
WMI. Обнаружение подозрительной командной строки PowerShell
Syslog. ViPNet EPP. Контроль процессов
Syslog. ViPNet EPP. Контроль файла
Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
WMI. Все события
WMI. Обнаружение возможного обхода Applocker
WMI. Обнаружение доступа к групповым политикам
WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
WMI. Обнаружение флагов WannaCry
WMI. Обнаружение включения прав для управления объектами
Syslog. ViPNet EPP. Шаблон по источнику/журналу событий
Syslog. ViPNet HW. Изменился IP-адрес сетевого узла
SQL. Kaspersky. Режим ограниченной функциональности
SQL. Kaspersky. Устарели базы САВЗ
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible shellcode %u0a0a.
Syslog. ViPNet IDS NS. Анализ трафика
SQL. Kaspersky. Неполная комплектация САВЗ
SQL. Kaspersky. Сбой обновления
SQL. Kaspersky. Сторонний источник баз САВЗ
All. Обнаружение важных антивирусных событий Linux. Ошибка аутентификации при попытке входа от учетной записи администратора
WMI. Reverce RDP
WMI. Обнаружение атаки - Понижение версии NetNTLM
WMI. Обнаружение взлома - RULER
WMI. Обнаружение вредоносной серверной установки
WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
WMI. Обнаружение использования Mimikatz
WMI. Обнаружение передачи пользователю прав локального администратора
WMI. Обнаруживает удаление правила аудита
WMI. Обнаружение подозрительных мест запуска процесса
Syslog. ViPNet IDS NS. Действия пользователей
Syslog. ViPNet IDS NS. Очистка журнала событий. Неудача
Syslog. ViPNet IDS NS. Очистка журнала событий. Успех
Syslog. ViPNet IDS NS. Самотестирование
Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
Syslog. ViPNet IDS NS. Шаблон для RFC 5424

Представленный набор фильтров является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Директивы корреляции

Директива определяет, что является инцидентом, а что нет. Мы берём кейсы наших заказчиков, ориентируемся на MITRE ATT&CK® и БДУ ФСТЭК и оформляем их как шаблоны для ваших директив.

Kaspersky: Базы устарели
Kaspersky: Сбой обновления
Kaspersky: Остановка задачи
Kaspersky: Срабатывание самозащиты
Kaspersky: Не установлено антивирусное ПО
Kaspersky: Срабатывание защиты
Kaspersky: Ошибка активации
Windows. Обнаружение слабого шифрования в учетных записях
Windows. Обнаружение взлома - RULER
Windows. Обнаружение доступа к LSASS
Windows. Обнаружение использования Mimikatz
Windows. Обнаружение синхронизации Miimikatz DC
Windows. Обнаружение удаления правила аудита
Windows. Обнаружение вредоносной серверной установки
Windows. Обнаружение доступа к WCEaux.dll
Windows. Обнаружение атаки - Понижение версии NetNTLM
Windows. Обнаружение запуска PsExec
Windows. Обнаружение использования истории SID
Windows. Обнаружение удаления бекапов
Windows. Обнаружение установки модуля собственного кода IIS
Windows. Обнаружение smbexec.py
Windows. Обнаружение использования PlugX из необычного расположения
Windows. Обнаружение возможного обхода Applocker
Windows. Обнаружение Shellcode Base64
Windows. Обнаружение подозрительного процесса MSIEXEC
Windows. Обнаружение возможной разведывательной деятельности
Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
Windows. Обнаружение входа в систему с использованием NTLM
Windows. Обнаружение подозрительной командной строки PowerShell
Windows. Обнаружение запуска скрипта PowerShell в AppData
Windows. Обнаружение подозрительной активности Rundll32
Windows. Обнаружение подозрительных мест запуска процесса
Windows. Обнаружение подозрительных SVCHOST процессов
Windows. Обнаружение передачи пользователю прав локального администратора
Windows. Обнаружение флагов WannaCry
Windows. Обнаружение попытки входа под заблокированной учетной записью
Windows. Операции с учетными записями
Kaspersky: Неполная комплектация антивирусного средства
Kaspersky: Сторонний источник баз
Kaspersky: Режим ограниченной функциональности
Syslog. ViPNet EPP. Важное событие
Syslog. ViPNet EPP. Опасное событие
Windows. Обнаружение инъекции Mavinject
Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
Windows. Обнаружение подозрительного дескриптора процесса в LSASS
Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
Windows. Обнаружение доступа к групповым политикам
Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
Windows. Reverce RDP
Windows. Модификация ветвей реестра
Syslog. Запуск NetCat
Windows. Попытка входа от учетной записи администратора
Windows. Подозрительная активность RASdial
Syslog. ViPNet IDS NS. Средний уровень важности
Syslog. ViPNet IDS NS. Информационный уровень важности
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему
Syslog. ViPNet IDS NS. Высокий уровень важности
Syslog. ViPNet IDS NS. Низкий уровень важности
Syslog. ViPNet IDS NS. Очистка журнала событий. Успех
Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
Syslog. ViPNet EPP. Информационное событие
Syslog. ViPNet EPP. Критическое событие
Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
Syslog. ViPNet TIAS. Важность 7 и выше
Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента
Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента
Windows. Обнаружение включения прав для управления объектами
All. Обнаружение важных антивирусных событий
Windows. Обнаружение сброса/удаления журналов

Представленный набор директив является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события

Пакет экспертиз от августа 2022

Экспертиза по ГОСТ 57580.1 -2017. Это первая часть экспертизы по данному ГОСТу, в будущем планируется продолжить её разработку

Покрываемый мониторинг из ГОСТ 57580.1–2017 Пункт 7.2.1.2

Мониторинг доступа пользователей в учетные записи (аудит входа/выхода)
Мониторинг создания новых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)
Мониторинг удаления старых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)

Пункт 7.2.1.3

Мониторинг блокирование учетных записей (аудит управления учетными записями пользователей, аудит управления учетных записей компьютеров)
Мониторинг изменения прав по предоставлению логического доступа (аудит управления группами безопасности)

Фильтры

2000 – неправильный ввод пароля учётной записи ОС Windows (локальный WMI-агент)
2001 – аудит входа в учетную запись Win10
2002 – неправильный ввод пароля учётной записи ОС Windows
2003 – аудит выхода WinServer 2012r2
2004 – аудит выхода Windows 10 (Локальный WMI-агент)
2005 – создание новой учётной записи компьютера в домене
2006 – изменение учётной записи компьютера входящего в домен
2007 - удаление учётной записи компьютера входящего в домен
2008 – создание учётной записи пользователя домена
2009 – включение учётной записи пользователя домена
2010 – неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
2011 - неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
2012 - удачная попытка изменения пароля учётной записи пользователя домена
2013 - удачная попытка сброса пароля учётной записи пользователя домена
2014 - неудачная попытка сброса пароля учётной записи пользователя домена
2015 - отключение учётной записи пользователя домена
2016 - удаление учётной записи пользователя домена
2017 - изменение учётной записи пользователя домена
2018 - блокировка учётной записи пользователя домена
2019 - разблокирована учётная запись пользователя домена
2020 - создание локальной группы безопасности
2021 - добавление пользователя в локальную группу безопасности
2022 - удаление пользователя из локальной группы безопасности
2023 - удаление локальной группы безопасности
2024 - изменение локальной группы безопасности
2025 - изменение типа группы безопасности
2026 - создание глобальной группы безопасности
2027 - изменение глобальной группы безопасности
2028 - добавление пользователя в глобальную группу безопасности
2029 - удаление пользователя из глобальной группы безопасности
3030 - удаление глобальной группы безопасности
2031 - создание универсальной группы безопасности
2032 - изменение универсальной группы безопасности
2033 - добавление пользователя в универсальную группу безопасности
2034 - удаление пользователя из универсальной группы безопасности
2035 - удаление универсальной группы безопасности

Директивы корреляции

«Вход в учетную запись Win10» - позволяет отслеживать вход в учетную запись пользователя домена на компьютере с ОС Windows 10 (Блокировка, Выход из системы, Сменить пользователя)
«Вход в учётную запись WinServer 2012r2» - позволяет отслеживать вход в учётную запись контроллера домена на компьютере с WinServer 2012r2
«Выход из учётной записи Windows» - позволяет отслеживать выход из учётной записи (работает только на «Выход» из учётной записи через Пуск). Директива не сработает в случае выключения ОС
«Попытка подбора пароля Windows» - позволяет отследить неправильный ввод пароля на Контроллере домена и Клиенте Домена от 3 и более раз. Регистрация событий происходит на локальных WMI-агентах
«Попытка подбора пароля учётной записи Windows (отслеживается с Контроллера домена)» - позволяет отследить неправильный ввод пароля на Клиенте домена от 3-х раз. Регистрация событий происходит на Контроллере домена
«Создание новой учётной записи компьютера в домене» - позволяет отслеживать создание новой учётной записи компьютера в домен, в том числе при вводе нового компьютера в домен
«Изменение учётной записи компьютера в домене» - позволяет отслеживать изменение учётной записи компьютера в домене
«Удаление учётной записи компьютера в домене» - позволяет отслеживать удаление учётной записи компьютера в домене
«Создание новой учётной записи пользователя домена» - позволяет отслеживать создание новой учётной записи пользователя домена на Контроллере домена
«Включение учётной записи пользователя домена» - позволяет отслеживать включение учётной записи пользователя домена на Контроллере домена
«Изменение пароля учётной записи пользователя домена» - позволяет отследить удачное изменение пароля Пользователем домена на клиенте
«Попытка сброса пароля учётной записи пользователя домена» - позволяет отследить неудачную попытку сброса пароля (смены пароля) учётной записи пользователя домена
«Сброс пароля учётной записи пользователя домена» - позволяет отследить удачную попытку сброса пароля учётной записи пользователя домена на Контроллере домена
«Отключение учётной записи пользователя домена» - позволяет отследить успешную попытку отключение учётной записи пользователя домена на Контроллере домена
«Удаление учётной записи пользователя домена» - позволяет отследить успешное удаление учётной записи пользователя домена на Контроллере домена
«Изменение учётной записи пользователя домена» - позволяет отследить изменения учётной записи пользователя домена. Все изменения перечислены в пункте «Примечание»
«Блокировка учётной записи пользователя домена» - позволяет отследить блокировку учётной записи пользователя домена на Контроллере домена
«Разблокирование учётной записи» - позволяет отследить разблокирование учётной записи пользователя домена на Контроллере домена
«Создание локальной группы безопасности» - позволяет отследить создание локальной группы безопасности на Контроллере домена
«Добавление пользователя в локальную группу безопасности» - позволяет отслеживать добавление пользователя в локальную группу безопасности домена на Контроллере домена
«Удаление пользователя из локальной группы безопасности» - позволяет отслеживать удаление пользователя из локальной группы безопасности домена на Контроллере домена
«Удаление локальной группы политики безопасности» - позволяет отследить удаление локальной группы политики безопасности домена на Контроллере домена
«Изменение локальной группы безопасности» - позволяет отследить изменение локальной группы безопасности домена на Контроллере домена
«Изменение типа группы безопасности» - позволяет отследить изменение типа группы безопасности домена на Контроллере домена
«Создание глобальной группы безопасности» - позволяет отследить создание глобальной группы безопасности домена на Контроллере домена
«Изменение глобальной группы безопасности» - позволяет отследить изменение глобальной группы безопасности домена на Контроллере домена. Срабатывает при добавлении и удалении пользователя в глобальную группу безопасности
«Добавление пользователя в глобальную группу безопасности» - позволяет отследить добавление пользователя в глобальную группу безопасности на Контроллере домена
«Удаление пользователя из глобальной группы безопасности» - позволяет отследить удаление пользователя из глобальной группы безопасности на Контроллере домена
«Удаление глобальной группы безопасности» - позволяет отследить удаление глобальной группы безопасности на Контроллере домена
«Создание универсальной группы безопасности» - позволяет отследить создание универсальной группы безопасности на Контроллере домена
«Изменение универсальной группы безопасности» - позволяет отследить изменение универсальной группы безопасности на Контроллере домена
«Добавление пользователя в универсальную группу безопасности» - позволяет отследить добавление пользователя в универсальную группу безопасности на Контроллере домена
«Удаление пользователя из универсальной группы безопасности» - позволяет отследить удаление пользователя из универсальной группы безопасности на Контроллере домена
«Удаление универсальной группы безопасности» - позволяет отследить удаление универсальной группы безопасности на Контроллере домена

Бесплатный пакет экспертиз

Фильтры (43):

ETECS.VipNet HW. Изменился IP-aдрес сетевого узла
ETECS. Windows. Активность Windows PowerShell
ETECS. Linux. Пользователь удалён из группы
ETECS.VipNet EPP.Системная активность
ETECS.KSC.Срабатывание самозащиты
ETECS.KSC.Сбой обновления
ETECS.KSC.Срабатывание защиты
ETECS.Windows. Обнаружение всех операций с учётными записями пользователей
ETECS. Linux. Пароль для root был изменён
ETECS.KSC.Сторонний источник баз САВЗ
ETECS. Windows. Обнаружение передачи пользователю прав локального администратора
ETECS. Windows. Запуск нового процесса
ETECS. Windows. Подключение и отключение сети
ETECS. Windows. Использование истории SID
ETECS. Linux. Создание нового пользователя
ETECS. Dr.Web 13 Esuite Server.Вход в графический интерфейс
ETECS. Linux. Удаление пользователя
ETECS.File. Все события
ETECS. Dr.Web 13 Esuite Server.Выход из графического интерфейса
ETECS. xFlow. Все события
ETECS. Internal. Все события
ETECS. Dr.Web 13 Esuite Server.Обнаружение вредоносного файла
ETECS. Internal. Неуспешная попытка входа в KOMRAD
ETECS. HTTP. Все события
ETECS.KSC. Устарели базы данных САВЗ
ETECS. Cyberprotect Backup and Recovery
ETECS. Linux. SSH подключение
ETECS. Windows. Удаление пользователя
ETECS. Windows. Неуспешная попытка входа в систему
ETECS. Windows. Антивирусная защита была отключена
ETECS. Windows. Политика аудита системы была изменена
ETECS. Linux. Неправильный ввод пароля
ETECS. Linux. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Windows. Создание нового пользователя
ETECS. Windows. Очистка журналов
ETECS. Windows. Все события
ETECS. Windows. Изменение конфигурации межсетевого экрана
ETECS. Linux. Пользователь добавлен в группу
ETECS. Syslog. Все события
ETECS.SQL. Все события
ETECS. Linux. Очистка правил в iptables
ETECS. SNMP. Все события
ETECS. Обнаружение важных антивирусных событий

Директивы корреляции (33):

ETECS. Dr.Web 13 Esuite Server. Вход в графический интерфейс
ETECS. Windows. Использование истории SID
ETECS. VipNet HW. Изменился IP-aдрес сетевого узла
ETECS. KSC. Срабатывание защиты
ETECS. KSC. Сторонний источник баз САВЗ
ETECS. KSC. Устарели базы данных САВЗ
ETECS. KSC. Сбой обновления
ETECS. KSC. Срабатывание самозащиты
ETECS. Linux. Удаление пользователя
ETECS. Linux. Очистка правил в iptables
ETECS. Linux. Пользователь удалён из группы
ETECS. Linux. SSH-подключение
ETECS. Windows. Изменение конфигурации межсетевого экрана
ETECS. Windows. Антивирусная защита была отключена
ETECS. Linux. Создание нового пользователя
ETECS. Cyberprotect Backup and Recovery
ETECS. Linux. Пароль для root был изменён
ETECS. Windows. Политика аудита системы была изменена
ETECS. Linux. Пользователь добавлен в группу
ETECS. Windows. Обнаружение всех операций с учётными записями пользователей
ETECS. Windows. Неуспешная попытка входа в систему
ETECS. Linux. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Internal. Неуспешная попытка входа в KOMRAD
ETECS. Linux. Неправильный ввод пароля
ETECS. Dr.Web 13 Esuite Server. Выход из графического интерфейса
ETECS. Windows. Удаление пользователя
ETECS. Windows. Очистка журналов
ETECS. Windows. Активность Windows PowerShell
ETECS. Windows. Обнаружение передачи пользователю прав локального администратора
ETECS. Windows. Создание нового пользователя
ETECS. Dr.Web 13 Esuite Server. Обнаружение вредоносного файла
ETECS. Обнаружение важных антивирусных событий
ETECS. VipNet EPP. Системная активность

Пакет экспертиз Cyber Protego

Cyber Protego

Фильтры :

ETECS. Cyber Protego. Запрещенный поисковый запрос
ETECS. Cyber Protego. Web-поиск запрещён
ETECS. Cyber Protego. Запрет на исходящий контент
ETECS. Cyber Protego. Запрет на входящий контент
ETECS. Cyber Protego. Запрет на копирование
ETECS. Cyber Protego. Создание снимка экрана
ETECS. Cyber Protego. Печать документа
ETECS. Cyber Protego. Ошибка чтения
ETECS. Cyber Protego. Монтирование/размонтирование диска
ETECS. Cyber Protego. Добавление/удаление устройств
ETECS. Cyber Protego. Keylogger обнаружен
ETECS. Cyber Protego. Подключение стороннего модема

Директивы :

ETECS. Cyber Protego. Web-поиск запрещён
ETECS. Cyber Protego. Запрещенный поисковый запрос
ETECS. Cyber Protego. Запрет на копирование
ETECS. Cyber Protego. Запрет на исходящий файл/сообщение
ETECS. Cyber Protego. Запрет на входящий файл/сообщение
ETECS. Cyber Protego. Создание снимка экрана
ETECS. Cyber Protego. Печать документа
ETECS. Cyber Protego. Ошибка чтения
ETECS. Cyber Protego. Монтирование/размонтирование диска
ETECS. Cyber Protego. Добавление/удаление устройств
ETECS. Cyber Protego. Keylogger обнаружен
ETECS. Cyber Protego. Подключение стороннего модема

Пакет экспертиз Secret Net Studio

Secret Net Studio

Фильтры:

ETECS. Secret Net Studio. Отключён защитный компонент системы
ETECS. Secret Net Studio. Базы СОВ устарели
ETECS. Secret Net Studio. Сервер обновлений недоступен
ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
ETECS. Secret Net Studio. Нарушение целостности ресурса
ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
ETECS. Secret Net Studio. Запрет подключения устройства
ETECS. Secret Net Studio. Антивирусные базы устарели
ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
ETECS. Secret Net Studio. Запрет доступа к устройству
ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
ETECS. Secret Net Studio. Обнаружено новое устройство
ETECS. Secret Net Studio. Устройство удалено из системы
ETECS. Secret Net Studio. Ошибка при печати документа
ETECS. Secret Net Studio. Обнаружены изменения в процессе контроля аппаратной конфигурации
ETECS. Secret Net Studio. Изменение параметров устройства

Директивы:

ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
ETECS. Secret Net Studio. Ошибка при печати документа
ETECS. Secret Net Studio. Сервер обновлений недоступен
ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
ETECS. Secret Net Studio. Нарушение целостности ресурса
ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
ETECS. Secret Net Studio. Запрет подключения устройства
ETECS. Secret Net Studio. Антивирусные базы устарели
ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
ETECS. Secret Net Studio. Базы СОВ устарели
ETECS. Secret Net Studio. Отключён защитный компонент системы
ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
ETECS. Secret Net Studio. Запрет доступа к устройству
ETECS. Secret Net Studio. Изменение параметров устройства

Пакет экспертиз Staffcop Enterprise

Staffcop Enterprise

Фильтры:

ETECS. Staffcop Enterprise. Любое событие
ETECS. Staffcop Enterprise. Запуск OneDrive
ETECS. Staffcop Enterprise. Запуск PowerShell
ETECS.Staffcop Enterprise. Изменение файлов в системе
ETECS.Staffcop Enterprise. Удалённое подключение администратора
ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
ETECS. Staffcop Enterprise. Архиваторы
ETECS. Staffcop Enterprise. Работа программ для майнинга
ETECS. Staffcop Enterprise. Обход мониторинга событий
ETECS. Staffcop Enterprise. Блокировка экрана
ETECS. Staffcop Enterprise. Ввод с клавиатуры
ETECS. Staffcop Enterprise. Информационная безопасность
ETECS. Staffcop Enterprise. Файлообменники
ETECS. Staffcop Enterprise. Инцидент
ETECS. Staffcop Enterprise. Системное администрирование

Директивы:

ETECS. Staffcop Enterprise. Запуск OneDrive
ETECS. Staffcop Enterprise. Запуск PowerShell
ETECS. Staffcop Enterprise. Изменение файлов в системе
ETECS. Staffcop Enterprise. Удалённое подключение администратора
ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
ETECS. Staffcop Enterprise. Архиваторы
ETECS. Staffcop Enterprise. Работа программ для майнинга
ETECS. Staffcop Enterprise. Обход мониторинга событий
ETECS. Staffcop Enterprise. Блокировка экрана
ETECS. Staffcop Enterprise. Информационная безопасность
ETECS. Staffcop Enterprise. Файлообменники
ETECS. Staffcop Enterprise. Системное администрирование

Пакет экспертиз Microsoft-Windows-Sysmon Event

Microsoft-Windows-Sysmon

Фильтры:

ETECS. Microsoft-Windows-Sysmon Event id 1
ETECS. Microsoft-Windows-Sysmon Event id 2
ETECS. Microsoft-Windows-Sysmon Event id 3
ETECS. Microsoft-Windows-Sysmon Event id 4
ETECS. Microsoft-Windows-Sysmon Event id 5
ETECS. Microsoft-Windows-Sysmon Event id 6
ETECS. Microsoft-Windows-Sysmon Event id 7
ETECS. Microsoft-Windows-Sysmon Event id 8
ETECS. Microsoft-Windows-Sysmon Event id 9
ETECS. Microsoft-Windows-Sysmon Event id 10
ETECS. Microsoft-Windows-Sysmon Event id 11
ETECS. Microsoft-Windows-Sysmon Event id 12
ETECS. Microsoft-Windows-Sysmon Event id 13
ETECS. Microsoft-Windows-Sysmon Event id 14
ETECS. Microsoft-Windows-Sysmon Event id 15
ETECS. Microsoft-Windows-Sysmon Event id 16
ETECS. Microsoft-Windows-Sysmon Event id 17
ETECS. Microsoft-Windows-Sysmon Event id 18
ETECS. Microsoft-Windows-Sysmon Event id 19
ETECS. Microsoft-Windows-Sysmon Event id 20
ETECS. Microsoft-Windows-Sysmon Event id 21
ETECS. Microsoft-Windows-Sysmon Event id 22
ETECS. Microsoft-Windows-Sysmon Event id 23
ETECS. Microsoft-Windows-Sysmon Event id 24
ETECS. Microsoft-Windows-Sysmon Event id 25
ETECS. Microsoft-Windows-Sysmon Event id 26
ETECS. Microsoft-Windows-Sysmon Event id 27
ETECS. Microsoft-Windows-Sysmon Event id 28
ETECS. Microsoft-Windows-Sysmon Event id 255

Директивы :

ETECS. Microsoft-Windows-Sysmon Event id 8
ETECS. Microsoft-Windows-Sysmon Event id 16
ETECS. Microsoft-Windows-Sysmon Event id 27
ETECS. Microsoft-Windows-Sysmon Event id 255
ETECS. Microsoft-Windows-Sysmon Event id 4
ETECS. Microsoft-Windows-Sysmon Event id 6

Пакет экспертиз Continent4

Continent4

Фильтры:

ETECS.Continent4. Удаление правила из БРП
ETECS.Continent4. Обновлена конфигурация узлов
ETECS.Continent4. Обнаружена Dos-атака
ETECS.Continent4. Ошибка при загрузке файла
ETECS.Continent4. Ошибка авторизации администратора в локальной консоли управления
ETECS.Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
ETECS.Continent4. Неудачная попытка подключения по SSH
ETECS.Continent4. Обнаружен потенциально опасный трафик
ETECS.Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
ETECS.Continent4. Обнаружена попытка воспользоваться бэкдором
ETECS.Continent4. Обнаружена веб-атака
ETECS.Continent4. Обнаружена активность сканеров сети
ETECS.Continent4. Обнаружена активность эксплойтов
ETECS.Continent4. Произошло нарушение политики безопасности
ETECS.Continent4. Обнаружено рекламное ПО
ETECS.Continent4. В инфраструктуре обнаружено шпионское ПО
ETECS.Continent4. Обнаружена активность программы загрузчика вредоносных файлов
ETECS.Continent4. Обнаружена утечка информации
ETECS.Continent4. Потеряна связь ЦУСа с узлом безопасности
ETECS.Continent4. Экспорт резервной копии
ETECS.Continent4. Выполнена загрузка нового бэкапа
ETECS.Continent4. Изменен срок действия для пароля администратора
ETECS.Continent4. Firewall заблокировал трафик
ETECS.Continent4. Выключения устройства из локального меню
ETECS.Continent4. Инициирована очистка журнала из консоли управления
ETECS.Continent4. Очистка журнала завершена
ETECS.Continent4. Обнаружено новое USB-устройство подключенное к платформе
ETECS.Continent4. Модуль tlsvpn_monit не отвечает
ETECS.Continent4. Инициализирован запрос на выключение узла безопасности
ETECS.Continent4. Администратор отвязал лицензию от хоста
ETECS.Continent4. Добавлен администратор с правами встроенной роли администратора
ETECS.Continent4. Добавление роли администратора
ETECS.Continent4. Обновлена настройка роли администратора
ETECS.Continent4. Сервер мониторинга остановлен
ETECS.Continent4. Создана задача на создание резервной копии
ETECS.Continent4. Добавление новой УЗ администратора
ETECS.Continent4. Обновлена политика паролей

Директивы:

ETECS. Continent4. Firewall заблокировал трафик
ETECS. Continent4. Администратор отвязал лицензию от хоста
ETECS. Continent4. В инфраструктуре обнаружено шпионское ПО
ETECS. Continent4. Выключения устройства из локального меню
ETECS. Continent4. Загрузка нового бэкапа
ETECS. Continent4. Добавление новой УЗ администратора
ETECS. Continent4. Добавление роли администратора
ETECS. Continent4. Изменен срок действия для пароля администратора
ETECS. Continent4. Инициализирован запрос на выключение узла безопасности
ETECS. Continent4. Инициирована очистка журнала из консоли управления
ETECS. Continent4. Модуль tlsvpn_monit не отвечает
ETECS. Continent4. Обнаружена утечка информации
ETECS. Continent4. Обнаружена Dos-атака
ETECS. Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
ETECS. Continent4. Обнаружена активность программы загрузчика вредоносных файлов
ETECS. Continent4. Обнаружена активность сканеров сети
ETECS. Continent4. Обнаружена активность эксплойтов
ETECS. Continent4. Обнаружена веб-атака
ETECS. Continent4. Произошло нарушение политики безопасности (СОВ)
ETECS. Continent4. Обнаружена попытка воспользоваться бэкдором
ETECS. Continent4. Обнаружено новое USB-устройство, подключенное к платформе
ETECS. Continent4. Обнаружено рекламное ПО
ETECS. Continent4. Обновлена конфигурация узлов
ETECS. Continent4. Обновлена настройка роли администратора
ETECS. Continent4. Обновлена политика паролей
ETECS. Continent4. Ошибка авторизации администратора в локальной консоли управления
ETECS. Continent4. Неудачная попытка подключения по SSH
ETECS. Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
ETECS. Continent4. Ошибка при загрузке файла обновления
ETECS. Continent4. Потеряна связь ЦУСа с узлом безопасности
ETECS. Continent4. Сервер мониторинга остановлен
ETECS. Continent4. Экспортирована новая резервная копия
ETECS. Continent4. Удаление правила из БРП
ETECS. Contitent4. Обнаружен потенциально опасный трафик

Пакет экспертиз KSC

KSC

Фильтры:

ETECS.KSC. Загрузка объекта запрещена
ETECS.KSC. Соединение заблокировано
ETECS.KSC. Обнаружен вредоносный объект
ETECS.KSC. Не удалось выполнить задачу
ETECS.KSC. Компоненты защиты выключены
ETECS.KSC. Отсутствовала связь KSC с SIEM-системой
ETECS.KSC. На устройстве обнаружен вредоносный объект
ETECS.KSC. Не удалось выполнить адаптивный контроль аномалий
ETECS.KSC. Статус устройства изменился
ETECS.KSC. Остановлена защита "Защита от сетевых угроз"
ETECS.KSC. Неактивное устройство было автоматически удалено
ETECS.KSC. Пользователь подключился к серверу администрирования
ETECS.KSC. Серверы KSN недоступны
ETECS.KSC. Остановлена защита "Сетевой экран"
ETECS.KSC. Остановлена защита "Защита от веб-угроз"
ETECS.KSC. Остановлена защита "Контроль устройств"
ETECS.KSC. Остановлена защита "Анализ поведения"
ETECS.KSC. Остановлена защита "Защита от почтовых угроз"
ETECS.KSC. Остановлена защита "AMSI-защита"
ETECS.KSC. Остановлена защита "Защита от файловых угроз"
ETECS.KSC. Остановлена защита "Веб-Контроль"
ETECS.KSC. Остановлена защита "Предотвращение вторжений"
ETECS.KSC. Остановлена защита "Защита от эксплойтов"
ETECS.KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
ETECS.KSC. Задача для набора устройств была удалена пользователем
ETECS.KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
ETECS.KSC. Ошибка взаимодействия с Kaspersky Security Center
ETECS.KSC. Ошибка обработки

Директивы:

ETECS. KSC. Остановлена защита "Предотвращение вторжений"
ETECS. KSC. Остановлена защита "Защита от эксплойтов"
ETECS. KSC. Остановлена защита "Веб-Контроль"
ETECS. KSC. Остановлена защита "Защита от файловых угроз"
ETECS. KSC. Остановлена защита "AMSI-защита"
ETECS. KSC. Остановлена защита "Анализ поведения"
ETECS. KSC. Остановлена защита "Контроль устройств"
ETECS. KSC. Остановлена защита "Сетевой экран"
ETECS. KSC. Серверы KSN недоступны
ETECS. KSC. Пользователь подключился к серверу администрирования
ETECS. KSC. Неактивное устройство было автоматически удалено
ETECS. KSC. Остановлена защита "Защита от сетевых угроз"
ETECS. KSC. Статус устройства изменился
ETECS. KSC. Не удалось выполнить адаптивный контроль аномалий
ETECS. KSC. Отсутствовала связь KSC с SIEM-системой
ETECS. KSC. Компоненты защиты выключены
ETECS. KSC. Не удалось выполнить задачу
ETECS. KSC. Обнаружен вредоносный объект
ETECS. KSC. Ошибка обработки
ETECS. KSC. На устройстве обнаружен вредоносный объект
ETECS. KSC. Загрузка объекта запрещена
ETECS. KSC. Ошибка взаимодействия с Kaspersky Security Center
ETECS. KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
ETECS. KSC. Задача для набора устройств была удалена пользователем
ETECS. KSC. Остановлена защита "Защита от веб-угроз"
ETECS. KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
ETECS. KSC. Остановлена защита "Защита от почтовых угроз"
ETECS. KSC. Было заблокировано соединение

Пакет экспертиз Microsoft Exchange Server 2010

Microsoft Exchange Server 2010

Фильтры:

ETECS.Microsoft Exchange Server 2010. Создание группы рассылки
ETECS.Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
ETECS.Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
ETECS.Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
ETECS.Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Удаление почтового ящика
ETECS.Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
ETECS.Microsoft Exchange Server 2010. Создание нового почтового контакта
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Set-OrganizationConfig
ETECS.Microsoft Exchange Server 2010. Отключение почтового ящика
ETECS.Microsoft Exchange Server 2010. Создание нового почтового ящика
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
ETECS.Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
ETECS.Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
ETECS.Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
ETECS.Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
ETECS.Microsoft Exchange Server 2010. Включение Outlook Anywhere
ETECS.Microsoft Exchange Server 2010. Выключение Outlook Anywhere
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Get-User
ETECS.Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA
ETECS.Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
ETECS.Microsoft Exchange Server 2010. Создание динамической группы рассылок
ETECS.Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
ETECS.Microsoft Exchange Server 2010. Создание нового соединителя получения
ETECS.Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Test-SystemHealth

Директивы:

ETECS. Microsoft Exchange Server 2010. Создание группы рассылки
ETECS. Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
ETECS. Microsoft Exchange Server 2010. Отключение почтового ящика
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
ETECS. Microsoft Exchange Server 2010. Создание нового почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
ETECS. Microsoft Exchange Server 2010. Удаление почтового ящика
ETECS. Microsoft Exchange Server 2010. Сбор данных о работоспособности организации через консоль управления Exchange
ETECS. Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
ETECS. Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
ETECS. Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
ETECS. Microsoft Exchange Server 2010. Включение Outlook Anywhere
ETECS. Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
ETECS. Microsoft Exchange Server 2010. Создание динамической группы рассылок
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
ETECS. Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Выключение Outlook Anywhere
ETECS. Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
ETECS. Microsoft Exchange Server 2010. Создание нового почтового контакта
ETECS. Microsoft Exchange Server 2010. Создание нового соединителя получения
ETECS. Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
ETECS. Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
ETECS. Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA

Пакет экспертиз Linux Auditd

Linux Auditd

Фильтры:

ETECS. Linux Auditd. Все события auditd
ETECS. Linux Auditd. Отключение межсетевого экрана
ETECS. Linux Auditd. Изменение настроек межсетевого экрана
ETECS. Linux Auditd. Proctitle (служебный)
ETECS. Linux Auditd. Использование скрипта для внесения изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Изменение конфигурации аудита системы
ETECS. Linux Auditd. Nano vim
ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Proctitle 2
ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
ETECS. Linux Auditd. Создание учетной записи пользователя
ETECS. Linux Auditd. Перехват сетевого трафика
ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
ETECS. Linux Auditd. Завершение работы системы/перезагрузка
ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
ETECS. Linux Auditd. Изменение атрибута времени файла
ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
ETECS. Linux Auditd. Успешное SSH-подключение
ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
ETECS. Linux Auditd. Остановка службы Systemd
ETECS. Linux Auditd. Служба успешно остановлена
ETECS. Linux Auditd. Служба успешно запущена
ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
ETECS. Linux Auditd. Очистка логов Linux
ETECS. Linux Auditd. Удаление файла
ETECS. Linux Auditd. Редактирование репозиториев Linux
ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux
ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя

Директивы:

ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
ETECS. Linux Auditd. Использование скрипта для внесения изменения в конфигурационные файлы ufw
ETECS. Linux Auditd. Остановка службы Systemd
ETECS. Linux Auditd. Изменение атрибута времени файла
ETECS. Linux Auditd. Изменение конфигурации аудита системы
ETECS. Linux Auditd. Изменение настроек межсетевого экрана
ETECS. Linux Auditd. Перехват сетевого трафика
ETECS. Linux Auditd. Создание учетной записи пользователя
ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
ETECS. Linux Auditd. Завершение работы системы/перезагрузка
ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя
ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Linux Auditd. Отключение межсетевого экрана
ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
ETECS. Linux Auditd. Успешное SSH-подключение
ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
ETECS. Linux Auditd. Очистка логов Linux
ETECS. Linux Auditd. Удаление файла
ETECS. Linux Auditd. Редактирование репозиториев Linux
ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux

Пакет экспертиз UserGate

UserGate

Фильтры:

ETECS. UserGate. Удаление сертификата
ETECS. UserGate. Выключение правила СОВ
ETECS. UserGate. Неправильный ввод пароля (CLI)
ETECS. UserGate. Выключение защиты от спуфинга в зоне сети
ETECS. UserGate. Добавление учетной записи администратора
ETECS. UserGate. Использование устаревшего алгоритма криптографического хеширования SHA-1
ETECS. UserGate. Очистка журналов диагностики
ETECS. UserGate. Экспорт номеров телефонов
ETECS. UserGate. Экспорт почтовых адресов
ETECS. UserGate. Добавление новой статической DNS-записи
ETECS. UserGate. Не удалось обновить элемент
ETECS. UserGate. Изменение шлюза по умолчанию
ETECS. UserGate. Срабатывание правила СОВ
ETECS. UserGate. Обнаружено использование сканера уязвимости в сети
ETECS. UserGate. Сработала блокировка доступа к ресурсу по правилу фильтрации контента
ETECS. UserGate. Обнаружена активность троянских вирусных программ
ETECS. UserGate. Обнаружена попытка использовать уязвимость
ETECS. UserGate. Сработало правило защиты от Dos
ETECS. UserGate. Отключение правила защиты от Dos
ETECS. UserGate. Разрешение потенциального Dos-трафика в правиле защиты от Dos
ETECS. UserGate. Отключение BATV в настройках антиспама
ETECS. UserGate .Сработала защита от IP-спуфинга
ETECS. UserGate. Потеряна связь с LDAP-сервером
ETECS. UserGate. Неправильный ввод пароля или логина для входа в административный интерфейс
ETECS. UserGate. Включение удаленного помощника
ETECS. UserGate. Добавление правила, открывающего FW
ETECS. UserGate. Запущено правило создания отчета
ETECS. UserGate. Изменение лимита DNS-запросов от одного пользователя в секунду
ETECS. UserGate. Отключение журналирования диагностики устройства
ETECS. Usergate. Отключение работы сценария
ETECS. UserGate. Обнаружено сканирование сети утилитой NMAP

Директивы:

ETECS. UserGate. Экспорт номеров телефонов
ETECS. UserGate. Неправильный ввод пароля (CLI)
ETECS. UserGate. Неправильный ввод пароля или логина для входа в административный интерфейс
ETECS. UserGate. Использование устаревшего алгоритма криптографического хеширования SHA-1
ETECS. UserGate. Добавление правила, открывающего FW
ETECS. UserGate. Выключение правила СОВ
ETECS. UserGate. Выключение защиты от спуфинга в зоне сети
ETECS. UserGate. Добавление учетной записи администратора
ETECS. UserGate. Экспорт почтовых адресов
ETECS. UserGate. Удаление сертификата
ETECS. UserGate. Добавление новой статической DNS-записи
ETECS. UserGate. Изменение лимита DNS-запросов от одного пользователя в секунду
ETECS. UserGate. Не удалось обновить элемент
ETECS. UserGate. Изменение шлюза по умолчанию
ETECS. UserGate. Срабатывание правила СОВ
ETECS. UserGate. Сработала блокировка доступа к ресурсу по правилу фильтрации контента
ETECS. UserGate. Потенциальная Dos-атака
ETECS. UserGate. Отключение правила защиты от Dos
ETECS. UserGate. Разрешение потенциального Dos-трафика в правиле защиты от Dos
ETECS. UserGate. Отключение BATV в настройках антиспама
ETECS. UserGate. Сработала защита от IP-спуфинга
ETECS. UserGate. Запущено правило создание отчета
ETECS. UserGate. Включение удаленного помощника
ETECS. UserGate. Потеряна связь с LDAP-сервером
ETECS. UserGate. Отключение журналирования диагностики устройства
ETECS. Usergate. Отключение работы сценария
ETECS. UserGate. Обнаружена попытка использовать уязвимость
ETECS. UserGate. Обнаружена активность троянских вирусных программ
ETECS. UserGate. Обнаружено использование сканера уязвимости в сети
ETECS. UserGate. Обнаружено сканирование сети утилитой NMAP

Пакет экспертиз САЗ RedCheck

САЗ RedCheck

Фильтры:

ETECS.RedCheck. Все события
ETECS.RedCheck. Задание "Инвентаризация" завершено
ETECS.RedCheck. Задание "Фиксация" завершено
ETECS.RedCheck. Найден уязвимый порт
ETECS.RedCheck. Найдены критические уязвимости
ETECS.RedCheck. Найдены уязвимости
ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
ETECS.RedCheck. Ошибка в работе службы синхронизации
ETECS.RedCheck. Ошибка в работе службы сканирования
ETECS.RedCheck. Проверка доступности хоста прошла успешно
ETECS.RedCheck. Сканирование завершилось с ошибкой
ETECS.RedCheck. Хост недоступен

Директивы:

ETECS.RedCheck. Задание "Инвентаризация" завершено
ETECS.RedCheck. Задание "Фиксация" завершено
ETECS.RedCheck. Найден уязвимый порт
ETECS.RedCheck. Найдены критические уязвимости
ETECS.RedCheck. Найдены уязвимости
ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
ETECS.RedCheck. Ошибка в работе службы синхронизации
ETECS.RedCheck. Ошибка в работе службы сканирования
ETECS.RedCheck. Проверка доступности хоста прошла успешно
ETECS.RedCheck. Сканирование завершилось с ошибкой
ETECS.RedCheck. Хост недоступен

Пользовательские поля нормализации:

ECS.RedCheck.AccountName
ECS.RedCheck.CriticalSeverity
ECS.RedCheck.HighSeverity
ECS.RedCheck.InformationalSeverity
ECS.RedCheck.LowSeverity
ECS.RedCheck.MediumSeverity
ECS.RedCheck.OpenPort
ECS.RedCheck.ScanResult
ECS.RedCheck.ScanSettings
ECS.RedCheck.ScanType
ECS.RedCheck.TaskName
ECS.RedCheck.UnknownSeverity
ECS.RedCheck.VulnerabilityNumber

Пакет экспертиз Ideco UTM

Ideco UTM

Фильтры:

ETECS.Ideco UTM.Предотвращение вторжений. Авторизация с подозрительным логином
ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP протокола
ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS трафика для управления вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
ETECS.Ideco UTM.Предотвращение вторжений.Обновления Windows
ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
ETECS.Ideco UTM. Предотвращение вторжений .Подозрительное обращение к файлам
ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения системных файлов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. PT Open
ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты используемые вредоносным ПО и ботнетами
ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Директивы:

ETECS.Ideco UTM. Предотвращение вторжений. Авторизация с подозрительным логином
ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP-протокола
ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS-трафика для управления вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Windows
ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
ETECS.Ideco UTM. Предотвращение вторжений. Подозрительное обращение к файлам
ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений .Попытки получения системных файлов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. PT Open
ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты, используемые вредоносным ПО и ботнетами
ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Пакет экспертиз СКДПУ НТ

Фильтры:

ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса сессии
ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
ETECS. IT-Bastion. Skdpu-nt. Передача файлов
ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчета

Директивы:

ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса
ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
ETECS. IT-Bastion. Skdpu-nt. Передача файлов
ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчёта

Последнее изменение 26.09.2023