История версий пакетов экспертиз
Пакет экспертиз от марта 2022
Поля событий
При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий.
-
Description
- Описание -
CEFX.InfotecsEPPModule
- ViPNet. Модуль -
CEFX.InfotecsEPPHost
- ViPNet. Имя источника -
ECS.Log.Syslog.IdsSDID10812.Rev
- ViPNet. Rev -
ECS.Log.Syslog.IdsSDID10812.Gid
- ViPNet. Gid -
ECS.Log.Syslog.IdsSDID10812.Sid
- ViPNet. Sid -
ECS.Log.Syslog.IdsSDID10812.Desc
- ViPNet. Desc -
ECS.Source.ProcessName
- ViPNet. Имя процесса -
ECS.Source.UserName
- ViPNet. Активная учетная запись пользователя -
CEFX.InfotecsEPPThreatCat
- ViPNet. Категория угрозы -
CEFX.InfTIASRecommendations
- ViPNet. Рекомендации от TIAS
Фильтры
Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения, мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.
-
WMI. Блокирования учетной записи после многочисленных неуспешных попыток
-
WMI. Обнаруживает удаление правила аудита
-
Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему
-
Syslog. ViPNet IDS NS. Изменение правил анализа. Добавление правила
-
Syslog. ViPNet IDS NS. Информационный уровень важности
-
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
-
Syslog. ViPNet IDS NS. ET MALWARE Webhancer Data Upload
-
Syslog. ViPNet IDS NS. Резервное копирование
-
Syslog. ViPNet IDS NS. Управление учетными записями
-
Syslog. ViPNet IDS NS. Изменение правил анализа
-
Syslog. ViPNet IDS NS. Изменения конфигурации.
-
Syslog. ViPNet IDS NS. Состояния модулей
-
Syslog. ViPNet HW. Шаблон
-
Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK.
-
Syslog. ViPNet IDS NS. Шаблон для CEF
-
Syslog. ViPNet IDS NS. Шаблон для RFC 3164
-
Syslog. ViPNet TIAS. Важность 7 и выше
-
Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента.
-
Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента.
-
Syslog. ViPNet TIAS. Шаблон.
-
Syslog. Все события
-
Syslog. ViPNet EPP. Контроль приложений
-
Syslog. ViPNet EPP. Неизвестный источник.
-
Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации.
-
Syslog. ViPNet EPP. Мониторинг системных обновлений
-
Syslog. ViPNet IDS NS. Высокий уровень важности
-
Syslog. ViPNet IDS NS. Низкий уровень важности
-
Syslog. ViPNet IDS NS. Средний уровень важности
-
Syslog. ViPNet EPP. Контроль реестра
-
Syslog. ViPNet EPP. Контроль установки приложений
-
Syslog. ViPNet EPP. Логины пользователей
-
Syslog. ViPNet EPP. Системная активность
-
Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
-
Syslog. ViPNet EPP. Опасное событие
-
Syslog. ViPNet EPP. Сетевая активность /Правила обнаружения сетевых атак
-
WMI. Модификация ветвей реестра
-
WMI. Обнаружение Shellcode Base64
-
WMI. Обнаружение доступа к LSASS
-
Syslog. ViPNet EPP. Информационное событие
-
Syslog. ViPNet EPP. Критическое событие
-
WMI. Обнаружение запуска скрипта PowerShell в AppData
-
SQL. Kaspersky. Не установлено антивирусное ПО
-
SQL. Kaspersky. Остановка задачи
-
SQL. Kaspersky. Ошибка активации
-
SQL. Kaspersky. Срабатывание защиты
-
SQL. Kaspersky. Срабатывание самозащиты
-
WMI. Обнаружение инъекции Mavinject
-
SQL. Все события
-
WMI. Обнаружение операций с учетными записями пользователей
-
WMI. Обнаружение подозрительного дескриптора процесса в LSASS
-
WMI. Блокирования учетной записи после многочисленных неуспешных попыток
-
WMI. Обнаружение входа в систему с использованием протокола NTLM
-
WMI. Обнаружение подозрительных SVCHOST процессов
-
WMI. Обнаружение попытки входа под заблокированной учетной записью
-
WMI. Обнаружение сброса/удаления журналов событий
-
WMI. Обнаружение установки модуля собственного кода IIS
-
WMI. Обнаружение удаления бекапов
-
WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
-
WMI. Подозрительная активность RASdial
-
Syslog. ViPNet EPP. Важное событие
-
Syslog. Запуск NetCat
-
WMI. Обнаружение возможной разведывательной деятельности
-
WMI. Обнаружение запуска PsExec
-
WMI. Обнаружение использования истории SID
-
Syslog. ViPNet EPP. Изменения учетных записей
-
WMI. Обнаружение доступа к WCEaux.dll
-
WMI. Обнаружение слабого шифрования в учетных записях
-
WMI. Обнаружение использования PlugX из необычного расположения
-
WMI. Обнаружение подозрительного процесса MSIEXEC
-
WMI. Обнаружение подозрительной активности Rundll32
-
WMI. Обнаружение синхронизации Miimikatz DC
-
Syslog. ViPNet EPP. Контроль выполняемых команд
-
WMI. Обнаружение smbexec.py
-
WMI. Обнаружение подозрительной командной строки PowerShell
-
Syslog. ViPNet EPP. Контроль процессов
-
Syslog. ViPNet EPP. Контроль файла
-
Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
-
WMI. Все события
-
WMI. Обнаружение возможного обхода Applocker
-
WMI. Обнаружение доступа к групповым политикам
-
WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
-
WMI. Обнаружение флагов WannaCry
-
WMI. Обнаружение включения прав для управления объектами
-
Syslog. ViPNet EPP. Шаблон по источнику/журналу событий
-
Syslog. ViPNet HW. Изменился IP-адрес сетевого узла
-
SQL. Kaspersky. Режим ограниченной функциональности
-
SQL. Kaspersky. Устарели базы САВЗ
-
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
-
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible shellcode %u0a0a.
-
Syslog. ViPNet IDS NS. Анализ трафика
-
SQL. Kaspersky. Неполная комплектация САВЗ
-
SQL. Kaspersky. Сбой обновления
-
SQL. Kaspersky. Сторонний источник баз САВЗ
-
All. Обнаружение важных антивирусных событий Linux. Ошибка аутентификации при попытке входа от учетной записи администратора
-
WMI. Reverce RDP
-
WMI. Обнаружение атаки - Понижение версии NetNTLM
-
WMI. Обнаружение взлома - RULER
-
WMI. Обнаружение вредоносной серверной установки
-
WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
-
WMI. Обнаружение использования Mimikatz
-
WMI. Обнаружение передачи пользователю прав локального администратора
-
WMI. Обнаруживает удаление правила аудита
-
WMI. Обнаружение подозрительных мест запуска процесса
-
Syslog. ViPNet IDS NS. Действия пользователей
-
Syslog. ViPNet IDS NS. Очистка журнала событий. Неудача
-
Syslog. ViPNet IDS NS. Очистка журнала событий. Успех
-
Syslog. ViPNet IDS NS. Самотестирование
-
Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
-
Syslog. ViPNet IDS NS. Шаблон для RFC 5424
Представленный набор фильтров является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить ip и/или код события. |
Директивы корреляции
Директива определяет, что является инцидентом, а что нет. Мы берём кейсы наших заказчиков, ориентируемся на MITRE ATT&CK® и БДУ ФСТЭК и оформляем их как шаблоны для ваших директив.
-
Kaspersky: Базы устарели
-
Kaspersky: Сбой обновления
-
Kaspersky: Остановка задачи
-
Kaspersky: Срабатывание самозащиты
-
Kaspersky: Не установлено антивирусное ПО
-
Kaspersky: Срабатывание защиты
-
Kaspersky: Ошибка активации
-
Windows. Обнаружение слабого шифрования в учетных записях
-
Windows. Обнаружение взлома - RULER
-
Windows. Обнаружение доступа к LSASS
-
Windows. Обнаружение использования Mimikatz
-
Windows. Обнаружение синхронизации Miimikatz DC
-
Windows. Обнаруживает удаление правила аудита
-
Windows. Обнаружение вредоносной серверной установки
-
Windows. Обнаружение доступа к WCEaux.dll
-
Windows. Обнаружение атаки - Понижение версии NetNTLM
-
Windows. Обнаружение запуска PsExec
-
Windows. Обнаружение использования истории SID
-
Windows. Обнаружение удаления бекапов
-
Windows. Обнаружение установки модуля собственного кода IIS
-
Windows. Обнаружение smbexec.py
-
Windows. Обнаружение использования PlugX из необычного расположения
-
Windows. Обнаружение возможного обхода Applocker
-
Windows. Обнаружение Shellcode Base64
-
Windows. Обнаружение подозрительного процесса MSIEXEC
-
Windows. Обнаружение возможной разведывательной деятельности
-
Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
-
Windows. Обнаружение входа в систему с использованием NTLM
-
Windows. Обнаружение подозрительной командной строки PowerShell
-
Windows. Обнаружение запуска скрипта PowerShell в AppData
-
Windows. Обнаружение подозрительной активности Rundll32
-
Windows. Обнаружение подозрительных мест запуска процесса
-
Windows. Обнаружение подозрительных SVCHOST процессов
-
Windows. Обнаружение передачи пользователю прав локального администратора
-
Windows. Обнаружение флагов WannaCry
-
Windows. Обнаружение попытки входа под заблокированной учетной записью
-
Windows. Операции с учетными записями
-
Kaspersky: Неполная комплектация антивирусного средства
-
Kaspersky: Сторонний источник баз
-
Kaspersky: Режим ограниченной функциональности
-
Syslog. ViPNet EPP. Важное событие
-
Syslog. ViPNet EPP. Опасное событие
-
Windows. Обнаружение инъекции Mavinject
-
Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
-
Windows. Обнаружение подозрительного дескриптора процесса в LSASS
-
Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
-
Windows. Обнаружение доступа к групповым политикам
-
Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
-
Windows. Reverce RDP
-
Windows. Модификация ветвей реестра
-
Syslog. Запуск NetCat
-
Windows. Попытка входа от учетной записи администратора
-
Windows. Подозрительная активность RASdial
-
Syslog. ViPNet IDS NS. Средний уровень важности
-
Syslog. ViPNet IDS NS. Информационный уровень важности
-
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
-
Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
-
Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
-
Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему
-
Syslog. ViPNet IDS NS. Высокий уровень важности
-
Syslog. ViPNet IDS NS. Низкий уровень важности
-
Syslog. ViPNet IDS NS. Очистка журнала событий. Успех
-
Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
-
Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
-
Syslog. ViPNet EPP. Информационное событие
-
Syslog. ViPNet EPP. Критическое событие
-
Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
-
Syslog. ViPNet TIAS. Важность 7 и выше
-
Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента
-
Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
-
Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента
-
Windows. Обнаружение включения прав для управления объектами
-
All. Обнаружение важных антивирусных событий
-
Windows. Обнаружение сброса/удаления журналов
Представленный набор Директив является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить ip и/или код события. |
Пакет экспертиз от августа 2022
Экспертиза по ГОСТ 57580.1 -2017. Это первая часть экспертизы по данному ГОСТу, в будущем планируется продолжить её разработку
Покрываемый мониторинг из ГОСТ 57580.1–2017 Пункт 7.2.1.2
-
Мониторинг доступа пользователей в учетные записи (Аудит входа/выхода)
-
Мониторинг создания новых учетных записей (Аудит управления учетными записями пользователей, Аудит учетных записей компьютеров)
-
Мониторинг удаления старых учетных записей (Аудит управления учетными записями пользователей, Аудит учетных записей компьютеров)
Пункт 7.2.1.3
-
Мониторинг блокирование учетных записей (Аудит управления учетными записями пользователей, Аудит управления учетных записей компьютеров)
-
Мониторинг изменения прав по предоставлению логического доступа (Аудит управления группами безопасности)
Фильтры
-
2000 – Неправильный ввод пароля учётной записи ОС Windows (Локальный WMI-агент)
-
2001 – Аудит входа в учетную запись Win10
-
2002 – Неправильный ввод пароля учётной записи ОС Windows
-
2003 – Аудит выхода WinServer 2012r2
-
2004 – Аудит выхода Windows 10 (Локальный WMI-агент)
-
2005 – Создание новой учётной записи компьютера в домене
-
2006 – Изменение учётной записи компьютера входящего в домен
-
2007 - Удаление учётной записи компьютера входящего в домен
-
2008 – Создание учётной записи пользователя домена
-
2009 – Включение учётной записи пользователя домена
-
2010 – Неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
-
2011 - Неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
-
2012 - Удачная попытка изменения пароля учётной записи пользователя домена
-
2013 - Удачная попытка сброса пароля учётной записи пользователя домена
-
2014 - Неудачная попытка сброса пароля учётной записи пользователя домена
-
2015 - Отключение учётной записи пользователя домена
-
2016 - Удаление учётной записи пользователя домена
-
2017 - Изменение учётной записи пользователя домена
-
2018 - Блокировка учётной записи пользователя домена
-
2019 - Разблокирована учётная запись пользователя домена
-
2020 - Создание локальной группы безопасности
-
2021 - Добавление пользователя в локальную группу безопасности
-
2022 - Удаление пользователя из локальной группы безопасности
-
2023 - Удаление локальной группы безопасности
-
2024 - Изменение локальной группы безопасности
-
2025 - Изменение типа группы безопасности
-
2026 - Создание глобальной группы безопасности
-
2027 - Изменение глобальной группы безопасности
-
2028 - Добавление пользователя в глобальную группу безопасности
-
2029 - Удаление пользователя из глобальной группы безопасности
-
3030 - Удаление глобальной группы безопасности
-
2031 - Создание универсальной группы безопасности
-
2032 - Изменение универсальной группы безопасности
-
2033 - Добавление пользователя в универсальную группу безопасности
-
2034 - Удаление пользователя из универсальной группы безопасности
-
2035 - Удаление универсальной группы безопасности
Директивы корреляции
-
«Вход в учетную запись Win10» позволяет отслеживать вход в учетную запись пользователя домена на компьютере с ОС Windows 10 (Блокировка, Выход из системы, Сменить пользователя).
-
«Вход в учётную запись WinServer 2012r2» позволяет отслеживать вход в учётную запись контроллера домена на компьютере с WinServer 2012r2.
-
«Выход из учётной записи Windows» позволяет отслеживать выход из учётной записи (Работает только на «Выход» из учётной записи через Пуск). Директива не сработает в случае выключения ОС.
-
«Попытка подбора пароля Windows» позволяет отследить неправильный ввод пароля на Контроллере домена и Клиенте Домена от 3 и более раз. Регистрация событий происходит на локальных WMI-агентах.
-
«Попытка подбора пароля учётной записи Windows (Отслеживается с Контроллера домена») позволяет отследить неправильный ввод пароля на Клиенте домена от 3-х раз. Регистрация событий происходит на Контроллере домена.
-
«Создание новой учётной записи компьютера в домене» позволяет отслеживать создание новой учётной записи компьютера в домен, а том числе при вводе нового компьютера в домен.
-
«Изменение учётной записи компьютера в домене» позволяет отслеживать изменение учётной записи компьютера в домене.
-
«Удаление учётной записи компьютера в домене» позволяет отслеживать удаление учётной записи компьютера в домене.
-
«Создание новой учётной записи пользователя домена» позволяет отслеживать создание новой учётной записи пользователя домена на Контроллере домена.
-
«Включение учётной записи пользователя домена» позволяет отслеживать включение учётной записи пользователя домена на Контроллере домена.
-
«Изменение пароля учётной записи пользователя домена» позволяет отследить удачное изменение пароля Пользователем домена на клиенте.
-
«Попытка сброса пароля учётной записи пользователя домена» позволяет отследить неудачную попытку сброса пароля (смена пароля) учётной записи пользователя домена.
-
«Сброс пароля учётной записи пользователя домена» позволяет отследить удачную попытку сброса пароля учётной записи пользователя домена на Контроллере домена.
-
«Отключение учётной записи пользователя домена» позволяет отследить успешную попытку отключение учётной записи пользователя домена на Контроллере домена
-
«Удаление учётной записи пользователя домена» позволяет отследить успешное удаление учётной записи пользователя домена на Контроллере домена
-
«Изменение учётной записи пользователя домена» позволяет отследить изменения учётной записи пользователя домена. Все изменения перечислены в пункте «Примечание».
-
«Блокировка учётной записи пользователя домена» позволяет отследить блокировку учётной записи пользователя домена на Контроллере домена.
-
«Разблокирование учётной записи» позволяет отследить разблокирование учётной записи пользователя домена на Контроллере домена.
-
«Создание локальной группы безопасности» позволяет отследить создание локальной группы безопасности на Контроллере домена.
-
«Добавление пользователя в локальную группу безопасности» позволяет отслеживать добавление пользователя в локальную группу безопасности домена на Контроллере домена
-
«Удаление пользователя из локальной группы безопасности» позволяет отслеживать удаление пользователя из локальной группы безопасности домена на Контроллере домена.
-
«Удаление локальной группы политики безопасности» позволяет отследить удаление локальной группы политики безопасности домена на Контроллере домена.
-
«Изменение локальной группы безопасности» позволяет отследить изменение локальной группы безопасности домена на Контроллере домена.
-
«Изменение типа группы безопасности» позволяет отследить изменение типа группы безопасности домена на Контроллере домена. Директива «Создание глобальной группы безопасности» позволяет отследить создание глобальной группы безопасности домена на Контроллере домена.
-
«Изменение глобальной группы безопасности» позволяет отследить изменение глобальной группы безопасности домена на Контроллере домена. Срабатывает при добавлении и удалении пользователя в глобальную группу безопасности
-
«Добавление пользователя в глобальную группу безопасности» позволяет отследить добавление пользователя в глобальную группу безопасности на Контроллере домена.
-
«Удаление пользователя из глобальной группы безопасности» позволяет отследить удаление пользователя из глобальной группы безопасности на Контроллере домена.
-
«Удаление глобальной группы безопасности» позволяет отследить удаление глобальной группы безопасности на Контроллере домена.
-
«Создание универсальной группы безопасности» позволяет отследить создание универсальной группы безопасности на Контроллере домена.
-
«Изменение универсальной группы безопасности» позволяет отследить изменение универсальной группы безопасности на Контроллере домена.
-
«Добавление пользователя в универсальную группу безопасности» позволяет отследить добавление пользователя в универсальную группу безопасности на Контроллере домена.
-
«Удаление пользователя из универсальной группы безопасности» позволяет отследить удаление пользователя из универсальной группы безопасности на Контроллере домена
-
«Удаление универсальной группы безопасности» позволяет отследить удаление универсальной группы безопасности на Контроллере домена.