История версий пакетов экспертиз

Пакет экспертиз от марта 2022

Поля событий

При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий.

  • Description - Описание

  • CEFX.InfotecsEPPModule - ViPNet. Модуль

  • CEFX.InfotecsEPPHost - ViPNet. Имя источника

  • ECS.Log.Syslog.IdsSDID10812.Rev - ViPNet. Rev

  • ECS.Log.Syslog.IdsSDID10812.Gid - ViPNet. Gid

  • ECS.Log.Syslog.IdsSDID10812.Sid - ViPNet. Sid

  • ECS.Log.Syslog.IdsSDID10812.Desc - ViPNet. Desc

  • ECS.Source.ProcessName - ViPNet. Имя процесса

  • ECS.Source.UserName - ViPNet. Активная учетная запись пользователя

  • CEFX.InfotecsEPPThreatCat - ViPNet. Категория угрозы

  • CEFX.InfTIASRecommendations - ViPNet. Рекомендации от TIAS

Фильтры

Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения, мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.

  • WMI. Блокирования учетной записи после многочисленных неуспешных попыток

  • WMI. Обнаруживает удаление правила аудита

  • Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему

  • Syslog. ViPNet IDS NS. Изменение правил анализа. Добавление правила

  • Syslog. ViPNet IDS NS. Информационный уровень важности

  • Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt

  • Syslog. ViPNet IDS NS. ET MALWARE Webhancer Data Upload

  • Syslog. ViPNet IDS NS. Резервное копирование

  • Syslog. ViPNet IDS NS. Управление учетными записями

  • Syslog. ViPNet IDS NS. Изменение правил анализа

  • Syslog. ViPNet IDS NS. Изменения конфигурации.

  • Syslog. ViPNet IDS NS. Состояния модулей

  • Syslog. ViPNet HW. Шаблон

  • Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK.

  • Syslog. ViPNet IDS NS. Шаблон для CEF

  • Syslog. ViPNet IDS NS. Шаблон для RFC 3164

  • Syslog. ViPNet TIAS. Важность 7 и выше

  • Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента.

  • Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента.

  • Syslog. ViPNet TIAS. Шаблон.

  • Syslog. Все события

  • Syslog. ViPNet EPP. Контроль приложений

  • Syslog. ViPNet EPP. Неизвестный источник.

  • Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации.

  • Syslog. ViPNet EPP. Мониторинг системных обновлений

  • Syslog. ViPNet IDS NS. Высокий уровень важности

  • Syslog. ViPNet IDS NS. Низкий уровень важности

  • Syslog. ViPNet IDS NS. Средний уровень важности

  • Syslog. ViPNet EPP. Контроль реестра

  • Syslog. ViPNet EPP. Контроль установки приложений

  • Syslog. ViPNet EPP. Логины пользователей

  • Syslog. ViPNet EPP. Системная активность

  • Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999

  • Syslog. ViPNet EPP. Опасное событие

  • Syslog. ViPNet EPP. Сетевая активность /Правила обнаружения сетевых атак

  • WMI. Модификация ветвей реестра

  • WMI. Обнаружение Shellcode Base64

  • WMI. Обнаружение доступа к LSASS

  • Syslog. ViPNet EPP. Информационное событие

  • Syslog. ViPNet EPP. Критическое событие

  • WMI. Обнаружение запуска скрипта PowerShell в AppData

  • SQL. Kaspersky. Не установлено антивирусное ПО

  • SQL. Kaspersky. Остановка задачи

  • SQL. Kaspersky. Ошибка активации

  • SQL. Kaspersky. Срабатывание защиты

  • SQL. Kaspersky. Срабатывание самозащиты

  • WMI. Обнаружение инъекции Mavinject

  • SQL. Все события

  • WMI. Обнаружение операций с учетными записями пользователей

  • WMI. Обнаружение подозрительного дескриптора процесса в LSASS

  • WMI. Блокирования учетной записи после многочисленных неуспешных попыток

  • WMI. Обнаружение входа в систему с использованием протокола NTLM

  • WMI. Обнаружение подозрительных SVCHOST процессов

  • WMI. Обнаружение попытки входа под заблокированной учетной записью

  • WMI. Обнаружение сброса/удаления журналов событий

  • WMI. Обнаружение установки модуля собственного кода IIS

  • WMI. Обнаружение удаления бекапов

  • WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil

  • WMI. Подозрительная активность RASdial

  • Syslog. ViPNet EPP. Важное событие

  • Syslog. Запуск NetCat

  • WMI. Обнаружение возможной разведывательной деятельности

  • WMI. Обнаружение запуска PsExec

  • WMI. Обнаружение использования истории SID

  • Syslog. ViPNet EPP. Изменения учетных записей

  • WMI. Обнаружение доступа к WCEaux.dll

  • WMI. Обнаружение слабого шифрования в учетных записях

  • WMI. Обнаружение использования PlugX из необычного расположения

  • WMI. Обнаружение подозрительного процесса MSIEXEC

  • WMI. Обнаружение подозрительной активности Rundll32

  • WMI. Обнаружение синхронизации Miimikatz DC

  • Syslog. ViPNet EPP. Контроль выполняемых команд

  • WMI. Обнаружение smbexec.py

  • WMI. Обнаружение подозрительной командной строки PowerShell

  • Syslog. ViPNet EPP. Контроль процессов

  • Syslog. ViPNet EPP. Контроль файла

  • Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999

  • WMI. Все события

  • WMI. Обнаружение возможного обхода Applocker

  • WMI. Обнаружение доступа к групповым политикам

  • WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker

  • WMI. Обнаружение флагов WannaCry

  • WMI. Обнаружение включения прав для управления объектами

  • Syslog. ViPNet EPP. Шаблон по источнику/журналу событий

  • Syslog. ViPNet HW. Изменился IP-адрес сетевого узла

  • SQL. Kaspersky. Режим ограниченной функциональности

  • SQL. Kaspersky. Устарели базы САВЗ

  • Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode

  • Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible shellcode %u0a0a.

  • Syslog. ViPNet IDS NS. Анализ трафика

  • SQL. Kaspersky. Неполная комплектация САВЗ

  • SQL. Kaspersky. Сбой обновления

  • SQL. Kaspersky. Сторонний источник баз САВЗ

  • All. Обнаружение важных антивирусных событий Linux. Ошибка аутентификации при попытке входа от учетной записи администратора

  • WMI. Reverce RDP

  • WMI. Обнаружение атаки - Понижение версии NetNTLM

  • WMI. Обнаружение взлома - RULER

  • WMI. Обнаружение вредоносной серверной установки

  • WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)

  • WMI. Обнаружение использования Mimikatz

  • WMI. Обнаружение передачи пользователю прав локального администратора

  • WMI. Обнаруживает удаление правила аудита

  • WMI. Обнаружение подозрительных мест запуска процесса

  • Syslog. ViPNet IDS NS. Действия пользователей

  • Syslog. ViPNet IDS NS. Очистка журнала событий. Неудача

  • Syslog. ViPNet IDS NS. Очистка журнала событий. Успех

  • Syslog. ViPNet IDS NS. Самотестирование

  • Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля

  • Syslog. ViPNet IDS NS. Шаблон для RFC 5424

Представленный набор фильтров является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить ip и/или код события.

Директивы корреляции

Директива определяет, что является инцидентом, а что нет. Мы берём кейсы наших заказчиков, ориентируемся на MITRE ATT&CK® и БДУ ФСТЭК и оформляем их как шаблоны для ваших директив.

  • Kaspersky: Базы устарели

  • Kaspersky: Сбой обновления

  • Kaspersky: Остановка задачи

  • Kaspersky: Срабатывание самозащиты

  • Kaspersky: Не установлено антивирусное ПО

  • Kaspersky: Срабатывание защиты

  • Kaspersky: Ошибка активации

  • Windows. Обнаружение слабого шифрования в учетных записях

  • Windows. Обнаружение взлома - RULER

  • Windows. Обнаружение доступа к LSASS

  • Windows. Обнаружение использования Mimikatz

  • Windows. Обнаружение синхронизации Miimikatz DC

  • Windows. Обнаруживает удаление правила аудита

  • Windows. Обнаружение вредоносной серверной установки

  • Windows. Обнаружение доступа к WCEaux.dll

  • Windows. Обнаружение атаки - Понижение версии NetNTLM

  • Windows. Обнаружение запуска PsExec

  • Windows. Обнаружение использования истории SID

  • Windows. Обнаружение удаления бекапов

  • Windows. Обнаружение установки модуля собственного кода IIS

  • Windows. Обнаружение smbexec.py

  • Windows. Обнаружение использования PlugX из необычного расположения

  • Windows. Обнаружение возможного обхода Applocker

  • Windows. Обнаружение Shellcode Base64

  • Windows. Обнаружение подозрительного процесса MSIEXEC

  • Windows. Обнаружение возможной разведывательной деятельности

  • Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil

  • Windows. Обнаружение входа в систему с использованием NTLM

  • Windows. Обнаружение подозрительной командной строки PowerShell

  • Windows. Обнаружение запуска скрипта PowerShell в AppData

  • Windows. Обнаружение подозрительной активности Rundll32

  • Windows. Обнаружение подозрительных мест запуска процесса

  • Windows. Обнаружение подозрительных SVCHOST процессов

  • Windows. Обнаружение передачи пользователю прав локального администратора

  • Windows. Обнаружение флагов WannaCry

  • Windows. Обнаружение попытки входа под заблокированной учетной записью

  • Windows. Операции с учетными записями

  • Kaspersky: Неполная комплектация антивирусного средства

  • Kaspersky: Сторонний источник баз

  • Kaspersky: Режим ограниченной функциональности

  • Syslog. ViPNet EPP. Важное событие

  • Syslog. ViPNet EPP. Опасное событие

  • Windows. Обнаружение инъекции Mavinject

  • Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)

  • Windows. Обнаружение подозрительного дескриптора процесса в LSASS

  • Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker

  • Windows. Обнаружение доступа к групповым политикам

  • Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток

  • Windows. Reverce RDP

  • Windows. Модификация ветвей реестра

  • Syslog. Запуск NetCat

  • Windows. Попытка входа от учетной записи администратора

  • Windows. Подозрительная активность RASdial

  • Syslog. ViPNet IDS NS. Средний уровень важности

  • Syslog. ViPNet IDS NS. Информационный уровень важности

  • Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode

  • Syslog. ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt

  • Syslog. ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK

  • Syslog. ViPNet IDS NS. Действия пользователя. Вход/выход в систему

  • Syslog. ViPNet IDS NS. Высокий уровень важности

  • Syslog. ViPNet IDS NS. Низкий уровень важности

  • Syslog. ViPNet IDS NS. Очистка журнала событий. Успех

  • Syslog. ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля

  • Syslog. ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999

  • Syslog. ViPNet EPP. Информационное событие

  • Syslog. ViPNet EPP. Критическое событие

  • Syslog. ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999

  • Syslog. ViPNet TIAS. Важность 7 и выше

  • Syslog. ViPNet TIAS. Сообщение об обнаружении нового инцидента

  • Syslog. ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации

  • Syslog. ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента

  • Windows. Обнаружение включения прав для управления объектами

  • All. Обнаружение важных антивирусных событий

  • Windows. Обнаружение сброса/удаления журналов

Представленный набор Директив является шаблоном, для работы их необходимо настроить под свою сеть или цели. Добавить ip и/или код события.
Пакет экспертиз от августа 2022

Экспертиза по ГОСТ 57580.1 -2017. Это первая часть экспертизы по данному ГОСТу, в будущем планируется продолжить её разработку

Покрываемый мониторинг из ГОСТ 57580.1–2017 Пункт 7.2.1.2

  • Мониторинг доступа пользователей в учетные записи (Аудит входа/выхода)

  • Мониторинг создания новых учетных записей (Аудит управления учетными записями пользователей, Аудит учетных записей компьютеров)

  • Мониторинг удаления старых учетных записей (Аудит управления учетными записями пользователей, Аудит учетных записей компьютеров)

Пункт 7.2.1.3

  • Мониторинг блокирование учетных записей (Аудит управления учетными записями пользователей, Аудит управления учетных записей компьютеров)

  • Мониторинг изменения прав по предоставлению логического доступа (Аудит управления группами безопасности)

Фильтры

  • 2000 – Неправильный ввод пароля учётной записи ОС Windows (Локальный WMI-агент)

  • 2001 – Аудит входа в учетную запись Win10

  • 2002 – Неправильный ввод пароля учётной записи ОС Windows

  • 2003 – Аудит выхода WinServer 2012r2

  • 2004 – Аудит выхода Windows 10 (Локальный WMI-агент)

  • 2005 – Создание новой учётной записи компьютера в домене

  • 2006 – Изменение учётной записи компьютера входящего в домен

  • 2007 - Удаление учётной записи компьютера входящего в домен

  • 2008 – Создание учётной записи пользователя домена

  • 2009 – Включение учётной записи пользователя домена

  • 2010 – Неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей

  • 2011 - Неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль

  • 2012 - Удачная попытка изменения пароля учётной записи пользователя домена

  • 2013 - Удачная попытка сброса пароля учётной записи пользователя домена

  • 2014 - Неудачная попытка сброса пароля учётной записи пользователя домена

  • 2015 - Отключение учётной записи пользователя домена

  • 2016 - Удаление учётной записи пользователя домена

  • 2017 - Изменение учётной записи пользователя домена

  • 2018 - Блокировка учётной записи пользователя домена

  • 2019 - Разблокирована учётная запись пользователя домена

  • 2020 - Создание локальной группы безопасности

  • 2021 - Добавление пользователя в локальную группу безопасности

  • 2022 - Удаление пользователя из локальной группы безопасности

  • 2023 - Удаление локальной группы безопасности

  • 2024 - Изменение локальной группы безопасности

  • 2025 - Изменение типа группы безопасности

  • 2026 - Создание глобальной группы безопасности

  • 2027 - Изменение глобальной группы безопасности

  • 2028 - Добавление пользователя в глобальную группу безопасности

  • 2029 - Удаление пользователя из глобальной группы безопасности

  • 3030 - Удаление глобальной группы безопасности

  • 2031 - Создание универсальной группы безопасности

  • 2032 - Изменение универсальной группы безопасности

  • 2033 - Добавление пользователя в универсальную группу безопасности

  • 2034 - Удаление пользователя из универсальной группы безопасности

  • 2035 - Удаление универсальной группы безопасности

Директивы корреляции

  • «Вход в учетную запись Win10» позволяет отслеживать вход в учетную запись пользователя домена на компьютере с ОС Windows 10 (Блокировка, Выход из системы, Сменить пользователя).

  • «Вход в учётную запись WinServer 2012r2» позволяет отслеживать вход в учётную запись контроллера домена на компьютере с WinServer 2012r2.

  • «Выход из учётной записи Windows» позволяет отслеживать выход из учётной записи (Работает только на «Выход» из учётной записи через Пуск). Директива не сработает в случае выключения ОС.

  • «Попытка подбора пароля Windows» позволяет отследить неправильный ввод пароля на Контроллере домена и Клиенте Домена от 3 и более раз. Регистрация событий происходит на локальных WMI-агентах.

  • «Попытка подбора пароля учётной записи Windows (Отслеживается с Контроллера домена») позволяет отследить неправильный ввод пароля на Клиенте домена от 3-х раз. Регистрация событий происходит на Контроллере домена.

  • «Создание новой учётной записи компьютера в домене» позволяет отслеживать создание новой учётной записи компьютера в домен, а том числе при вводе нового компьютера в домен.

  • «Изменение учётной записи компьютера в домене» позволяет отслеживать изменение учётной записи компьютера в домене.

  • «Удаление учётной записи компьютера в домене» позволяет отслеживать удаление учётной записи компьютера в домене.

  • «Создание новой учётной записи пользователя домена» позволяет отслеживать создание новой учётной записи пользователя домена на Контроллере домена.

  • «Включение учётной записи пользователя домена» позволяет отслеживать включение учётной записи пользователя домена на Контроллере домена.

  • «Изменение пароля учётной записи пользователя домена» позволяет отследить удачное изменение пароля Пользователем домена на клиенте.

  • «Попытка сброса пароля учётной записи пользователя домена» позволяет отследить неудачную попытку сброса пароля (смена пароля) учётной записи пользователя домена.

  • «Сброс пароля учётной записи пользователя домена» позволяет отследить удачную попытку сброса пароля учётной записи пользователя домена на Контроллере домена.

  • «Отключение учётной записи пользователя домена» позволяет отследить успешную попытку отключение учётной записи пользователя домена на Контроллере домена

  • «Удаление учётной записи пользователя домена» позволяет отследить успешное удаление учётной записи пользователя домена на Контроллере домена

  • «Изменение учётной записи пользователя домена» позволяет отследить изменения учётной записи пользователя домена. Все изменения перечислены в пункте «Примечание».

  • «Блокировка учётной записи пользователя домена» позволяет отследить блокировку учётной записи пользователя домена на Контроллере домена.

  • «Разблокирование учётной записи» позволяет отследить разблокирование учётной записи пользователя домена на Контроллере домена.

  • «Создание локальной группы безопасности» позволяет отследить создание локальной группы безопасности на Контроллере домена.

  • «Добавление пользователя в локальную группу безопасности» позволяет отслеживать добавление пользователя в локальную группу безопасности домена на Контроллере домена

  • «Удаление пользователя из локальной группы безопасности» позволяет отслеживать удаление пользователя из локальной группы безопасности домена на Контроллере домена.

  • «Удаление локальной группы политики безопасности» позволяет отследить удаление локальной группы политики безопасности домена на Контроллере домена.

  • «Изменение локальной группы безопасности» позволяет отследить изменение локальной группы безопасности домена на Контроллере домена.

  • «Изменение типа группы безопасности» позволяет отследить изменение типа группы безопасности домена на Контроллере домена. Директива «Создание глобальной группы безопасности» позволяет отследить создание глобальной группы безопасности домена на Контроллере домена.

  • «Изменение глобальной группы безопасности» позволяет отследить изменение глобальной группы безопасности домена на Контроллере домена. Срабатывает при добавлении и удалении пользователя в глобальную группу безопасности

  • «Добавление пользователя в глобальную группу безопасности» позволяет отследить добавление пользователя в глобальную группу безопасности на Контроллере домена.

  • «Удаление пользователя из глобальной группы безопасности» позволяет отследить удаление пользователя из глобальной группы безопасности на Контроллере домена.

  • «Удаление глобальной группы безопасности» позволяет отследить удаление глобальной группы безопасности на Контроллере домена.

  • «Создание универсальной группы безопасности» позволяет отследить создание универсальной группы безопасности на Контроллере домена.

  • «Изменение универсальной группы безопасности» позволяет отследить изменение универсальной группы безопасности на Контроллере домена.

  • «Добавление пользователя в универсальную группу безопасности» позволяет отследить добавление пользователя в универсальную группу безопасности на Контроллере домена.

  • «Удаление пользователя из универсальной группы безопасности» позволяет отследить удаление пользователя из универсальной группы безопасности на Контроллере домена

  • «Удаление универсальной группы безопасности» позволяет отследить удаление универсальной группы безопасности на Контроллере домена.