История версий пакетов экспертиз

Пакет экспертиз Multifactor (27.06.2025)

Фильтры:

1. ETECS. MULTIFACTOR. Windows. Остановлен RADIUS адаптер
2. ETECS. MULTIFACTOR. Windows. Произошла какая-то ошибка во время работы Radius адаптера
3. ETECS. MULTIFACTOR. Windows. Произошла ошибка при отправке запроса
4. ETECS. MULTIFACTOR. Linux. Остановлен Radius адаптер
5. ETECS. MULTIFACTOR. Linux. Произошла ошибка при отправке запроса
6. ETECS. MULTIFACTOR. Linux. Второй фактор подтвержден (MobileApp)
7. ETECS. MULTIFACTOR. Windows. RRAS. Не удалось войти
8. ETECS. MULTIFACTOR. Windows. Остановка RADIUS адаптера на сервере
9. ETECS. MULTIFACTOR. Linux. Второй фактор подтвержден (Telegram)
10. ETECS. MULTIFACTOR. Превышены квота пользователей лицензии Multifactor
11. ETECS. MULTIFACTOR. Windows. Пользователь добавил новый способ аутентификации
12. ETECS. MULTIFACTOR. Не удалось войти в систему
13. ETECS. MULTIFACTOR. Linux. Произошла какая-то ошибка во время работы Radius адаптера
14. ETECS. MULTIFACTOR. Windows. RRAS. Пользователь ввел верный логин и пароль
15. ETECS. MULTIFACTOR. Windows. RRAS. Неправильно введен логин или пароль
16. ETECS. MULTIFACTOR. Windows. Первый шаг входа
17. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (OTP-токены и приложения)
18. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (Telegram)
19. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (MobileApp)
20. ETECS. MULTIFACTOR. Windows. Потеряна связь клиента с Radius адаптером
21. ETECS. MULTIFACTOR. Linux. Пользователь добавил новый способ аутентификации
22. ETECS. MULTIFACTOR. Linux. Второй фактор подтвержден (OTP-токены и приложения)
23. ETECS. MULTIFACTOR. Linux. Первый шаг входа

Директивы:

1. ETECS. MULTIFACTOR. Windows. Потеряна связь клиента с Radius адаптером
2. ETECS. MULTIFACTOR. Linux. Произошла какая-то ошибка во время работы Radius адаптера
3. ETECS. MULTIFACTOR. Windows. RRAS. Успешная аутентификация с использованием 2FA (MobileApp)
4. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (Telegram)
5. ETECS. MULTIFACTOR. Не удалось войти в систему. Превышены квота пользователей лицензии Multifactor
6. ETECS. MULTIFACTOR. Windows. Выключение RADIUS адаптера на сервере
7. ETECS. MULTIFACTOR. Linux. Успешная аутентификация с использованием 2FA (OTP-токены и приложения)
8. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (OTP-токены и приложения)
9. ETECS. MULTIFACTOR. Windows. Произошла ошибка во время работы Radius адаптера
10. ETECS. MULTIFACTOR. Linux. Произошла ошибка при отправке запроса
11. ETECS. MULTIFACTOR. Linux. Успешная аутентификация с использованием 2FA (MobileApp)
12. ETECS. MULTIFACTOR. Windows. RRAS. Не удалось войти. Пользователя с такими данными не существует
13. ETECS. MULTIFACTOR. Linux. Успешная аутентификация с использованием 2FA (Telegram)
14. ETECS. MULTIFACTOR. Windows. Пользователь самостоятельно добавил новый способ аутентификации
15. ETECS. MULTIFACTOR. Linux. Пользователь самостоятельно добавил новый способ аутентификации
16. ETECS. MULTIFACTOR. Windows. Второй фактор подтвержден (MobileApp)
17. ETECS. MULTIFACTOR. Windows. Произошла ошибка при отправке запроса
18. ETECS. MULTIFACTOR. Linux. Выключение RADIUS адаптера на сервере
19. ETECS. MULTIFACTOR. Windows. RRAS. Успешная аутентификация с использованием 2FA (Telegram)
20. ETECS. MULTIFACTOR. Не удалось войти в систему. Закончилось время подтверждения второго фактора
21. ETECS. MULTIFACTOR. Windows. RRAS. Не удалось войти. Неправильно введен логин или пароль

Плагин:

1. Plugin for Multifactor

Пакет экспертиз ECP VeiL (17.10.2024)

Фильтры:

1. ETECS. Veil. USB устройство примонтировано к виртуальной машине
2. ETECS. Veil. Вход для пользователя ограничен из-за превышения лимита попыток аутентификации
3. ETECS. Veil. Выключение всех виртуальных машин кластера/вычислительного узла
4. ETECS. Veil. Выключение питания виртуальной машины
5. ETECS. Veil. Действие запрещено. Возможная потеря связи между вычислительным узлом и контроллером
6. ETECS. Veil. Достигнут критический уровень загрузки дисков
7. ETECS. Veil. Достигнут критический уровень загрузки памяти
8. ETECS. Veil. Достигнут критический уровень загрузки процессора
9. ETECS. Veil. Достигнут лимит добавления виртуальных машин
10. ETECS. Veil. Задача завершилась с неизвестной ошибкой
11. ETECS. Veil. Задача завершилась с ошибкой
12. ETECS. Veil. Запуск виртуальной машины
13. ETECS. Veil. Изменение параметров распределенного коммутатора
14. ETECS. Veil. Изменение пароля пользователя
15. ETECS. Veil. Изменение сетевой конфигурации
16. ETECS. Veil. Клонирование виртуальной машины
17. ETECS. Veil. Конфигурация сервиса веб-сервера успешно обновлена
18. ETECS. Veil. Миграция виртуальной машины невозможна
19. ETECS. Veil. Обновление параметров пула ресурсов
20. ETECS. Veil. Очищен журнал событий безопасности
21. ETECS. Veil. Ошибка клонирования виртуальной машины
22. ETECS. Veil. Ошибка обновления конфигурации сервиса веб-сервера
23. ETECS. Veil. Перезапуск брандмауэра на узле
24. ETECS. Veil. Перезапуск сетевых служб виртуальной сети
25. ETECS. Veil. Перезапуск службы DHCP виртуальной сети
26. ETECS. Veil. Перезапуск службы брандмауэра виртуальной сети
27. ETECS. Veil. Пользователь заблокирован в системе. Ошибка аутентификации
28. ETECS. Veil. Пользователь удален из системы
29. ETECS. Veil. Сервис неожиданно завершил работу. Выполняется перезапуск
30. ETECS. Veil. Создан пул ресурсов
31. ETECS. Veil. Создание виртуального коммутатора
32. ETECS. Veil. Создание виртуальной машины
33. ETECS. Veil. Создание пользователя
34. ETECS. Veil. Создание пользователя с правами администратора
35. ETECS. Veil. Создание распределенного коммутатора
36. ETECS. Veil. Удален снимок виртуальной машины
37. ETECS. Veil. Удаление виртуального коммутатора
38. ETECS. Veil. Удаление виртуальной машины
39. ETECS. Veil. Удаление распределенного коммутатора
40. ETECS. Veil. Удален пул ресурсов
41. ETECS. Veil. Указан неверный пароль. Ошибка аутентификации

Директивы:

1. ETECS. Veil. USB устройство примонтировано к виртуальной машине
2. ETECS. Veil. Вход для пользователя ограничен из-за превышения лимита попыток аутентификации
3. ETECS. Veil. Выключение всех виртуальных машин кластера/вычислительного узла
4. ETECS. Veil. Выключение питания виртуальной машины
5. ETECS. Veil. Действие запрещено. Возможная потеря связи между вычислительным узлом и контроллером
6. ETECS. Veil. Достигнут критический уровень загрузки дисков
7. ETECS. Veil. Достигнут критический уровень загрузки памяти
8. ETECS. Veil. Достигнут критический уровень загрузки процессора
9. ETECS. Veil. Достигнут лимит добавления виртуальных машин
10. ETECS. Veil. Задача завершилась с неизвестной ошибкой
11. ETECS. Veil. Задача завершилась с ошибкой
12. ETECS. Veil. Запуск виртуальной машины
13. ETECS. Veil. Изменение параметров распределенного коммутатора
14. ETECS. Veil. Изменение пароля пользователя
15. ETECS. Veil. Изменение сетевой конфигурации
16. ETECS. Veil. Клонирование виртуальной машины
17. ETECS. Veil. Конфигурация сервиса веб-сервера успешно обновлена
18. ETECS. Veil. Миграция виртуальной машины невозможна
19. ETECS. Veil. Обновление параметров пула ресурсов
20. ETECS. Veil. Очищен журнал событий безопасности
21. ETECS. Veil. Ошибка клонирования виртуальной машины
22. ETECS. Veil. Ошибка обновления конфигурации сервиса веб-сервера
23. ETECS. Veil. Перезапуск брандмауэра на узле
24. ETECS. Veil. Перезапуск сетевых служб виртуальной сети
25. ETECS. Veil. Перезапуск службы DHCP виртуальной сети
26. ETECS. Veil. Перезапуск службы брандмауэра виртуальной сети
27. ETECS. Veil. Пользователь заблокирован в системе. Ошибка аутентификации
28. ETECS. Veil. Пользователь удален из системы
29. ETECS. Veil. Сервис неожиданно завершил работу. Выполняется перезапуск
30. ETECS. Veil. Создан пул ресурсов
31. ETECS. Veil. Создание виртуального коммутатора
32. ETECS. Veil. Создание виртуальной машины
33. ETECS. Veil. Создание пользователя
34. ETECS. Veil. Создание пользователя с правами администратора
35. ETECS. Veil. Создание распределенного коммутатора
36. ETECS. Veil. Удален снимок виртуальной машины
37. ETECS. Veil. Удаление виртуального коммутатора
38. ETECS. Veil. Удаление виртуальной машины
39. ETECS. Veil. Удаление распределенного коммутатора
40. ETECS. Veil. Удалён пул ресурсов
41. ETECS. Veil. Указан неверный пароль. Ошибка аутентификации

Плагин:

1. ECP VeiL

Пакет экспертиз KSC Linux (01.10.2024)

Фильтры:

1. ETECS. KSC Linux. Аудит (изменение объекта)
2. ETECS. KSC Linux. Аудит (изменения в группах администрирования)
3. ETECS. KSC Linux. Аудит (изменения состояния объектов)
4. ETECS. KSC Linux. Аудит подключения к Серверу администрирования
5. ETECS. KSC Linux. Аудит: пользователь отключён от Сервера.
6. ETECS. KSC Linux. Базы обновлены.
7. ETECS. KSC Linux. Базы приложения применены
8. ETECS. KSC Linux. Базы устарели
9. ETECS. KSC Linux. Задача не запущена
10. ETECS. KSC Linux. Задача проверки по требованию прервана
11. ETECS. KSC Linux. Задача создана
12. ETECS. KSC Linux. Задача удалена
13. ETECS. KSC Linux. Обнаружена сетевая атака
14. ETECS. KSC Linux. Обнаружена угроза
15. ETECS. KSC Linux. Обнаружен защищённый паролем архив
16. ETECS. KSC Linux. Обнаружен недоверенный сертификат
17. ETECS. KSC Linux. Объект не вылечен
18. ETECS. KSC Linux. Ошибка при обработке объекта
19. ETECS. KSC Linux. Параметры задачи изменены
20. ETECS. KSC Linux. Параметры сети изменены
21. ETECS. KSC Linux. Программа удалена
22. ETECS. KSC Linux. Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно.
23. ETECS. KSC Linux. Прокси-сервер KSN остановлен.
24. ETECS. KSC Linux. Сетевая активность заблокирована
25. ETECS. KSC Linux. Состояние задачи изменено
26. ETECS. KSC Linux. Установлена программа
27. ETECS. KSC Linux. Установлено новое приложение
28. ETECS. KSC Linux. Функциональность недоступна по действующей лицензии

Директивы:

1. ETECS. KSC Linux. Аудит (изменение объекта)
2. ETECS. KSC Linux. Базы приложения применены
3. ETECS. KSC Linux. Базы устарели
4. ETECS. KSC Linux. Задача не запущена
5. ETECS. KSC Linux. Задача проверки по требованию прервана
6. ETECS. KSC Linux. Задача создана
7. ETECS. KSC Linux. Задача удалена
8. ETECS. KSC Linux. Обнаружена сетевая атака
9. ETECS. KSC Linux. Обнаружена угроза
10. ETECS. KSC Linux. Обнаружен защищённый паролем архив
11. ETECS. KSC Linux. Обнаружен недоверенный сертификат
12. ETECS. KSC Linux. Объект не вылечен
13. ETECS. KSC Linux. Ошибка при обработке объекта
14. ETECS. KSC Linux. Программа удалена
15. ETECS. KSC Linux. Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно.
16. ETECS. KSC Linux. Прокси-сервер KSN остановлен.
17. ETECS. KSC Linux. Сетевая активность заблокирована
18. ETECS. KSC Linux. Установлена программа
19. ETECS. KSC Linux. Установлено новое приложение
20. ETECS. KSC Linux. Функциональность недоступна по действующей лицензии

Пользовательские поля нормализации:

1. ECS.Log.Syslog.Event23668.Et
2. ECS.Log.Syslog.Event23668.Etdn
3. ECS.Log.Syslog.Event23668.Gn
4. ECS.Log.Syslog.Event23668.Hdn
5. ECS.Log.Syslog.Event23668.Hip

Пакет экспертиз Windows (26.07.2024)

Фильтры:

1. ETECS. WMI. DCOM InternetExplorer.Application предотвратило взлом библиотеки DLL
2. ETECS. WMI. DiagTrackEoP - имя пользователя для входа по умолчанию
3. ETECS. WMI. Hacktool Ruler
4. ETECS. WMI. Reverce RDP
5. ETECS. WMI. Активность сбросчика паролей в LSASS
6. ETECS. WMI. Атака на понижение статуса NetNTLM
7. ETECS. WMI. Аудит входа в учетную запись Windows 10
8. ETECS. WMI. Аудит входа в учетную запись Windows Server 2016
9. ETECS. WMI. Аудит выхода Windows 10
10. ETECS. WMI. Блокирования учетной записи после многочисленных неуспешных попыток
11. ETECS. WMI. Блокировка учётной записи пользователя домена
12. ETECS. WMI. Были установлены службы инструмента удаленного доступа
13. ETECS. WMI. Бэкдоры пользователей Active Directory
14. ETECS. WMI. Взлом учетной записи - Подозрительные причины неудачного входа в систему
15. ETECS. WMI. Включение прав пользователя в AD для управления пользовательскими объектами
16. ETECS. WMI. Включение учётной записи пользователя домена
17. ETECS. WMI. Внешний дисковый накопитель или USB-накопитель был распознан системой
18. ETECS. WMI. Все события
19. ETECS. WMI. Вход в систему по протоколу NTLMv1 между клиентом и cервером
20. ETECS. WMI. Вход по протоколу RDP с локального хоста
21. ETECS. WMI. Выполнение службы инструментов сброса учетных данных
22. ETECS. WMI. Для домена было создано новое доверительное управление
23. ETECS. WMI. Добавление пользователя в глобальную группу безопасности
24. ETECS. WMI. Добавление пользователя в локальную группу безопасности
25. ETECS. WMI. Добавление пользователя в универсальную группу безопасности
26. ETECS. WMI. Доступ к общему сетевому ресурсу ADMIN$
27. ETECS. WMI. Доступ к объекту AD WriteDAC
28. ETECS. WMI. Заблокированная рабочая станция
29. ETECS. WMI. Запрос доступа на чтение служебного раздела реестра
30. ETECS. WMI. Извлечение ключа резервной копии DPAPI домена
31. ETECS. WMI. Изменение глобальной группы безопасности
32. ETECS. WMI. Изменение локальной группы безопасности
33. ETECS. WMI. Изменение типа группы безопасности
34. ETECS. WMI. Изменение универсальной группы безопасности
35. ETECS. WMI. Изменение учётной записи компьютера входящего в домен
36. ETECS. WMI. Изменение учётной записи пользователя домена
37. ETECS. WMI. Исполняемый файл добавлен в планировщик задач
38. ETECS. WMI. Модификация ветвей реестра
39. ETECS. WMI. Монтированный образ ISO
40. ETECS. WMI. Необычное исходящее соединение Kerberos
41. ETECS. WMI. Неправильный ввод пароля учётной записи ОС Windows (Контроллер домена)
42. ETECS. WMI. Неправильный ввод пароля учётной записи ОС Windows (Локальный WMI-агент)
43. ETECS. WMI. Несанкционированное изменение системного времени
44. ETECS. WMI. Неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
45. ETECS. WMI. Неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
46. ETECS. WMI. Неудачная попытка сброса пароля учётной записи пользователя домена
47. ETECS. WMI. Неудачная проверка целостности кода
48. ETECS. WMI. Новая или переименованная учетная запись пользователя с символом "$"
49. ETECS. WMI. Обнаружение Shellcode Base64
50. ETECS. WMI. Обнаружение smbexec.py
51. ETECS. WMI. Обнаружение важных антивирусных событий
52. ETECS. WMI. Обнаружение включения прав для управления объектами
53. ETECS. WMI. Обнаружение возможного обхода Applocker
54. ETECS. WMI. Обнаружение вредоносной серверной установки
55. ETECS. WMI. Обнаружение входа в систему с использованием протокола NTLM
56. ETECS. WMI. Обнаружение доступа к LSASS
57. ETECS. WMI. Обнаружение доступа к WCEaux.dll
58. ETECS. WMI. Обнаружение доступа к групповым политикам
59. ETECS. WMI. Обнаружение запуска PsExec
60. ETECS. WMI. Обнаружение запуска скрипта PowerShell в AppData
61. ETECS. WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
62. ETECS. WMI. Обнаружение инъекции Mavinject
63. ETECS. WMI. Обнаружение использования Mimikatz
64. ETECS. WMI. Обнаружение использования PlugX из необычного расположения
65. ETECS. WMI. Обнаружение использования истории SID
66. ETECS. WMI. Обнаружение операций с учетными записями пользователей
67. ETECS. WMI. Обнаружение передачи пользователю прав локального администратора
68. ETECS. WMI. Обнаружение подозрительного дескриптора процесса в LSASS
69. ETECS. WMI. Обнаружение подозрительного процесса MSIEXEC
70. ETECS. WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
71. ETECS. WMI. Обнаружение подозрительной активности Rundll32
72. ETECS. WMI. Обнаружение подозрительной командной строки PowerShell
73. ETECS. WMI. Обнаружение подозрительных SVCHOST процессов
74. ETECS. WMI. Обнаружение подозрительных мест запуска процесса
75. ETECS. WMI. Обнаружение попытки входа под заблокированной учетной записью.
76. ETECS. WMI. Обнаружение сброса/удаления журналов событий
77. ETECS. WMI. Обнаружение синхронизации Mimikatz DC
78. ETECS. WMI. Обнаружение слабого шифрования в учетных записях
79. ETECS. WMI. Обнаружение удаления бекапов
80. ETECS. WMI. Обнаружение установки модуля собственного кода IIS
81. ETECS. WMI. Обнаружение флагов WannaCry
82. ETECS. WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
83. ETECS. WMI. Обнаруживает удаление правила аудита
84. ETECS. WMI. Отказано в доступе к удаленному рабочему столу
85. ETECS. WMI. Отключен аудит важных событий Windows
86. ETECS. WMI. Отключение учётной записи пользователя домена
87. ETECS. WMI. Открыт ZIP-файл, защищенный паролем. Подозрительные имена файлов (Windows Server 2019)
88. ETECS. WMI. Открыт защищенный паролем ZIP-файл (Windows Server 2019)
89. ETECS. WMI. Передача хэша деятельности (Pass the Hash Activity)
90. ETECS. WMI. Подозрительная активность RASdial
91. ETECS. WMI. Подозрительное обновление запланированной задачи
92. ETECS. WMI. Подозрительный доступ к конфиденциальным расширениям файлов
93. ETECS. WMI. Поиск привилегированных пользователей или групп объявлений
94. ETECS. WMI. Процессы доступа к микрофону и веб-камере
95. ETECS. WMI. Разблокирована учётная запись пользователя домена
96. ETECS. WMI. Разведывательная деятельность
97. ETECS. WMI. Регистрация нового процесса входа в систему от Rubeus
98. ETECS. WMI. Репликация Active Directory из учетной записи, не относящейся к компьютеру
99. ETECS. WMI. Сбой механизма защиты от вредоносных программ Microsoft
100. ETECS. WMI. Служба была установлена необычным клиентом
101. ETECS. WMI. Событие обработки объектов, связанных с подозрительными командами и приложениями
102. ETECS. WMI. Создана подозрительная локальная учетная запись Windows ANONYMOUS LOGON
103. ETECS. WMI. Создание глобальной группы безопасности
104. ETECS. WMI. Создание пользователя
105. ETECS. WMI. Создание локальной группы безопасности
106. ETECS. WMI. Создание новой учётной записи компьютера в домене
107. ETECS. WMI. Создание скрытого локального пользователя
108. ETECS. WMI. Создание универсальной группы безопасности
109. ETECS. WMI. Схема атаки KrbRelayUp
110. ETECS. WMI. Схема атаки, похожая на RottenPotato
111. ETECS. WMI. Сценарии PowerShell, установленные в качестве служб
112. ETECS. WMI. Удаление глобальной группы безопасности
113. ETECS. WMI. Удаление локальной группы безопасности
114. ETECS. WMI. Удаление пользователя из глобальной группы безопасности
115. ETECS. WMI. Удаление пользователя из локальной группы безопасности
116. ETECS. WMI. Удаление пользователя из универсальной группы безопасности
117. ETECS. WMI. Удаление универсальной группы безопасности
118. ETECS. WMI. Удаление учётной записи компьютера входящего в домен
119. ETECS. WMI. Удаление учётной записи пользователя домена
120. ETECS. WMI. Удаленное создание задачи с помощью именованного канала ATSVC
121. ETECS. WMI. Удаленные сеансы PowerShell сетевые подключения (WinRM)
122. ETECS. WMI. Удаленный вход пользователя-администратора
123. ETECS. WMI. Удачная попытка изменения пароля учётной записи пользователя домена
124. ETECS. WMI. Удачная попытка сброса пароля учётной записи пользователя домена
125. ETECS. WMI. Указана политика паролей
126. ETECS. WMI. Успешная попытка входа в учетную запись локального администратора
127. ETECS. WMI. Успешная попытка обхода хэша
128. ETECS. WMI. Установка сервиса HybridConnectionManager
129. ETECS. WMI. Установка устройства заблокирована

Директивы:

1. ETECS. Windows. DCOM InternetExplorer.Application предотвратило взлом библиотеки DLL
2. ETECS. Windows. Hacktool Ruler
3. ETECS. Windows. Reverce RDP
4. ETECS. Windows. Активность сбросчика паролей в LSASS
5. ETECS. Windows. Атака на понижение статуса NetNTLM
6. ETECS. Windows. Блокировка учётной записи пользователя домена
7. ETECS. Windows. Были установлены службы инструмента удаленного доступа
8. ETECS. Windows. Бэкдоры пользователей Active Directory
9. ETECS. Windows. Взлом учетной записи - Подозрительные причины неудачного входа в систему
10. ETECS. Windows. Включение прав пользователя в AD для управления пользовательскими объектами
11. ETECS. Windows. Включение учётной записи пользователя домена
12. ETECS. Windows. Внешний дисковый накопитель или USB-накопитель был распознан системой. Подключено новое устройство
13. ETECS. Windows. Вход в доменную учетную запись без административных прав (Windows 10)
14. ETECS. Windows. Вход в учетную запись (Windows 10)
15. ETECS. Windows. Вход в учётную запись администратора контроллера домена на Windows Server 2016
16. ETECS. Windows. Вход по протоколу RDP с localhost
17. ETECS. Windows. Выполнение службы инструментов сброса учетных данных
18. ETECS. Windows. Выход из учётной записи Windows
19. ETECS. Windows. Для домена было создано новое доверительное управление
20. ETECS. Windows. Добавление пользователя в глобальную группу безопасности
21. ETECS. Windows. Добавление пользователя в локальную группу безопасности
22. ETECS. Windows. Добавление пользователя в универсальную группу безопасности
23. ETECS. Windows. Доступ к общему сетевому ресурсу ADMIN$
24. ETECS. Windows. Доступ к объекту AD WriteDAC
25. ETECS. Windows. Заблокированная рабочая станция
26. ETECS. Windows. Запрос доступа на чтение служебного раздела реестра
27. ETECS. Windows. Извлечение ключа резервной копии DPAPI домена
28. ETECS. Windows. Изменение глобальной группы безопасности
29. ETECS. Windows. Изменение локальной группы безопасности
30. ETECS. Windows. Изменение пароля учётной записи пользователя домена
31. ETECS. Windows. Изменение типа группы безопасности
32. ETECS. Windows. Изменение универсальной группы безопасности
33. ETECS. Windows. Изменение учётной записи компьютера в домене
34. ETECS. Windows. Изменение учётной записи пользователя домена
35. ETECS. Windows. Исполняемый файл добавлен в планировщик задач
36. ETECS. Windows. Модификация ветвей реестра
37. ETECS. Windows. Монтированный образ ISO
38. ETECS. Windows. Необычное исходящее соединение Kerberos
39. ETECS. Windows. Несанкционированное изменение системного времени
40. ETECS. Windows. Неудачная проверка целостности кода
41. ETECS. Windows. Новая или переименованная учетная запись пользователя с символом "$"
42. ETECS. Windows. Обнаружение Shellcode Base64
43. ETECS. Windows. Обнаружение smbexec.py
44. ETECS. Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
45. ETECS. Windows. Обнаружение важных антивирусных событий
46. ETECS. Windows. Обнаружение включения прав для управления объектами
47. ETECS. Windows. Обнаружение возможного обхода Applocker
48. ETECS. Windows. Обнаружение вредоносной серверной установки
49. ETECS. Windows. Обнаружение входа в систему с использованием NTLM
50. ETECS. Windows. Обнаружение доступа к LSASS
51. ETECS. Windows. Обнаружение доступа к WCEaux.dll
52. ETECS. Windows. Обнаружение доступа к групповым политикам
53. ETECS. Windows. Обнаружение запуска PsExec
54. ETECS. Windows. Обнаружение запуска скрипта PowerShell в AppData
55. ETECS. Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
56. ETECS. Windows. Обнаружение инъекции Mavinject
57. ETECS. Windows. Обнаружение использования Mimikatz
58. ETECS. Windows. Обнаружение использования PlugX из необычного расположения
59. ETECS. Windows. Обнаружение использования истории SID
60. ETECS. Windows. Обнаружение передачи пользователю прав локального администратора
61. ETECS. Windows. Обнаружение подозрительного дескриптора процесса в LSASS
62. ETECS. Windows. Обнаружение подозрительного процесса MSIEXEC
63. ETECS. Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
64. ETECS. Windows. Обнаружение подозрительной активности Rundll32
65. ETECS. Windows. Обнаружение подозрительной командной строки PowerShell
66. ETECS. Windows. Обнаружение подозрительных SVCHOST процессов
67. ETECS. Windows. Обнаружение подозрительных мест запуска процесса
68. ETECS. Windows. Обнаружение попытки входа под заблокированной учетной записью
69. ETECS. Windows. Обнаружение сброса/удаления журналов
70. ETECS. Windows. Обнаружение синхронизации Mimikatz DC
71. ETECS. Windows. Обнаружение слабого шифрования в учетных записях
72. ETECS. Windows. Обнаружение удаления бекапов
73. ETECS. Windows. Обнаружение установки модуля собственного кода IIS
74. ETECS. Windows. Обнаружение флагов WannaCry
75. ETECS. Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
76. ETECS. Windows. Обнаружен скрипт PowerShell, установленный в качестве службы
77. ETECS. Windows. Обнаруживает удаление правила аудита
78. ETECS. Windows. Операции с учетными записями
79. ETECS. Windows. Определяет "имя пользователя" по умолчанию, используемое POC DiagTrackEoP
80. ETECS. Windows. Отказано в доступе к удаленному рабочему столу
81. ETECS. Windows. Отключен аудит важных событий Windows
82. ETECS. Windows. Отключение учётной записи пользователя домена
83. ETECS. Windows. Открыт ZIP-файл, защищенный паролем. Подозрительные имена файлов (Windows Server 2019)
84. ETECS. Windows. Открыт защищенный паролем ZIP-файл (Windows Server 2019)
85. ETECS. Windows. Передача хэша деятельности (Pass the Hash Activity)
86. ETECS. Windows. Подозрительная активность RASdial
87. ETECS. Windows. Подозрительное обновление запланированной задачи
88. ETECS. Windows. Подозрительный доступ к конфиденциальным расширениям файлов
89. ETECS. Windows. Поиск привилегированных пользователей или групп объявлений
90. ETECS. Windows. Попытка изменения пароля учётной записи пользователя домена
91. ETECS. Windows. Попытка подбора пароля учётной записи Windows (локальный WMI-агент)
92. ETECS. Windows. Попытка подбора пароля учётной записи Windows (Отслеживается с Контроллера домена)
93. ETECS. Windows. Попытка сброса пароля учётной записи пользователя домена
94. ETECS. Windows. Процессы доступа к микрофону и веб-камере
95. ETECS. Windows. Разблокирование учётной записи пользователя домена
96. ETECS. Windows. Разведывательная деятельность
97. ETECS. Windows. Регистрация нового процесса входа в систему от Rubeus
98. ETECS. Windows. Репликация Active Directory из учетной записи, не относящейся к компьютеру
99. ETECS. Windows. Сбой механизма защиты от вредоносных программ Microsoft
100. ETECS. Windows. Сброс пароля учётной записи пользователя домена
101. ETECS. Windows. Служба была установлена необычным клиентом
102. ETECS. Windows. Событие обработки объектов, связанных с подозрительными командами и приложениями
103. ETECS. Windows. Создана подозрительная локальная учетная запись Windows ANONYMOUS LOGON
104. ETECS. Windows. Создание глобальной группы безопасности
105. ETECS. Windows. Создание пользователя
106. ETECS. Windows. Создание локальной группы безопасности
107. ETECS. Windows. Создание новой учётной записи компьютера в домене
108. ETECS. Windows. Создание скрытого локального пользователя
109. ETECS. Windows. Создание универсальной группы безопасности
110. ETECS. Windows. Схема атаки KrbRelayUp
111. ETECS. Windows. Схема атаки, похожая на RottenPotato
112. ETECS. Windows. Удаление глобальной группы безопасности
113. ETECS. Windows. Удаление локальной группы безопасности
114. ETECS. Windows. Удаление пользователя из глобальной группы безопасности
115. ETECS. Windows. Удаление пользователя из локальной группы безопасности
116. ETECS. Windows. Удаление пользователя из универсальной группы безопасности
117. ETECS. Windows. Удаление универсальной группы безопасности
118. ETECS. Windows. Удаление учётной записи компьютера в домене
119. ETECS. Windows. Удаление учётной записи пользователя домена
120. ETECS. Windows. Удаленное создание задачи с помощью именованного канала ATSVC
121. ETECS. Windows. Удаленные сеансы PowerShell сетевые подключения (WinRM)
122. ETECS. Windows. Удаленный вход пользователя-администратора
123. ETECS. Windows. Указана политика паролей
124. ETECS. Windows. Успешная попытка входа в учетную запись локального администратора
125. ETECS. Windows. Успешная попытка обхода хэша
126. ETECS. Windows. Установка сервиса HybridConnectionManager
127. ETECS. Windows. Установка устройства заблокирована

Пакет экспертиз СОА Forpost (20.07.2024)

Фильтры:

1. ETECS. СОА Forpost. Выполнен вход в систему
2. ETECS. СОА Forpost. Выполнен выход из системы
3. ETECS. СОА Forpost. Запущена автоматическая очистка устаревших записей журналов
4. ETECS. СОА Forpost. Запущена автоматическая очистка устаревших записей журналов СОА по расписанию
5. ETECS. СОА Forpost. Запущено сканирование портов
6. ETECS. СОА Forpost. Зарегистрирован новый компонент
7. ETECS. СОА Forpost. Компонент отключился
8. ETECS. СОА Forpost. Компонент отключился с ошибкой
9. ETECS. СОА Forpost. Компонент подключился
10. ETECS. СОА Forpost. Компонент успешно стартовал
11. ETECS. СОА Forpost. Лицензия не найдена
12. ETECS. СОА Forpost. Неудачная попытка входа под пользователем
13. ETECS. СОА Forpost. Операция загрузки правил сетевого датчика успешно завершена
14. ETECS. СОА Forpost. Операция остановки и/или запуска компонента завершилась с ошибкой
15. ETECS. СОА Forpost. Отправлена операция 'Остановка' для компонента
16. ETECS. СОА Forpost. Отправлена операция 'Остановка и запуск' для компонента
17. ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов
18. ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов СОА
19. ETECS. СОА Forpost. Редактор правил сетевого датчика для этого компонента уже открыт
20. ETECS. СОА Forpost. Сканирование портов остановлено
21. ETECS. СОА Forpost. Сработало правило на сетевом датчике с уровнем критичности 5 и более
22. ETECS. СОА Forpost. Форпост Агент запустился

Директивы:

1. ETECS. СОА Forpost. Выполнен вход в систему
2. ETECS. СОА Forpost. Выполнен выход из системы
3. ETECS. СОА Forpost. Зарегистрирован новый компонент
4. ETECS. СОА Forpost. Компонент отключился
5. ETECS. СОА Forpost. Компонент отключился с ошибкой
6. ETECS. СОА Forpost. Компонент подключился
7. ETECS. СОА Forpost. Компонент успешно стартовал
8. ETECS. СОА Forpost. Лицензия не найдена
9. ETECS. СОА Forpost. Неудачная попытка входа под пользователем
10. ETECS. СОА Forpost. Операция остановки и/или запуска компонента завершилась с ошибкой
11. ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов СОА
12. ETECS. СОА Forpost. Сработало правило на сетевом датчике с уровнем критичности 5 и более

Плагин:

1. СОА Forpost

Пакет экспертиз KSC (19.07.2024)

Фильтры:

1. ETECS.KSC. Загрузка объекта запрещена
2. ETECS.KSC. Соединение заблокировано
3. ETECS.KSC. Обнаружен вредоносный объект
4. ETECS.KSC. Не удалось выполнить задачу
5. ETECS.KSC. Компоненты защиты выключены
6. ETECS.KSC. Отсутствовала связь KSC с SIEM-системой
7. ETECS.KSC. На устройстве обнаружен вредоносный объект
8. ETECS.KSC. Не удалось выполнить адаптивный контроль аномалий
9. ETECS.KSC. Статус устройства изменился
10. ETECS.KSC. Остановлена защита "Защита от сетевых угроз"
11. ETECS.KSC. Неактивное устройство было автоматически удалено
12. ETECS.KSC. Пользователь подключился к серверу администрирования
13. ETECS.KSC. Серверы KSN недоступны
14. ETECS.KSC. Остановлена защита "Сетевой экран"
15. ETECS.KSC. Остановлена защита "Защита от веб-угроз"
16. ETECS.KSC. Остановлена защита "Контроль устройств"
17. ETECS.KSC. Остановлена защита "Анализ поведения"
18. ETECS.KSC. Остановлена защита "Защита от почтовых угроз"
19. ETECS.KSC. Остановлена защита "AMSI-защита"
20. ETECS.KSC. Остановлена защита "Защита от файловых угроз"
21. ETECS.KSC. Остановлена защита "Веб-Контроль"
22. ETECS.KSC. Остановлена защита "Предотвращение вторжений"
23. ETECS.KSC. Остановлена защита "Защита от эксплойтов"
24. ETECS.KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
25. ETECS.KSC. Задача для набора устройств была удалена пользователем
26. ETECS.KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
27. ETECS.KSC. Ошибка взаимодействия с Kaspersky Security Center
28. ETECS.KSC. Ошибка обработки

Директивы:

1. ETECS. KSC. Остановлена защита "Предотвращение вторжений"
2. ETECS. KSC. Остановлена защита "Защита от эксплойтов"
3. ETECS. KSC. Остановлена защита "Веб-Контроль"
4. ETECS. KSC. Остановлена защита "Защита от файловых угроз"
5. ETECS. KSC. Остановлена защита "AMSI-защита"
6. ETECS. KSC. Остановлена защита "Анализ поведения"
7. ETECS. KSC. Остановлена защита "Контроль устройств"
8. ETECS. KSC. Остановлена защита "Сетевой экран"
9. ETECS. KSC. Серверы KSN недоступны
10. ETECS. KSC. Пользователь подключился к серверу администрирования
11. ETECS. KSC. Неактивное устройство было автоматически удалено
12. ETECS. KSC. Остановлена защита "Защита от сетевых угроз"
13. ETECS. KSC. Статус устройства изменился
14. ETECS. KSC. Не удалось выполнить адаптивный контроль аномалий
15. ETECS. KSC. Отсутствовала связь KSC с SIEM-системой
16. ETECS. KSC. Компоненты защиты выключены
17. ETECS. KSC. Не удалось выполнить задачу
18. ETECS. KSC. Обнаружен вредоносный объект
19. ETECS. KSC. Ошибка обработки
20. ETECS. KSC. На устройстве обнаружен вредоносный объект
21. ETECS. KSC. Загрузка объекта запрещена
22. ETECS. KSC. Ошибка взаимодействия с Kaspersky Security Center
23. ETECS. KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
24. ETECS. KSC. Задача для набора устройств была удалена пользователем
25. ETECS. KSC. Остановлена защита "Защита от веб-угроз"
26. ETECS. KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
27. ETECS. KSC. Остановлена защита "Защита от почтовых угроз"
28. ETECS. KSC. Было заблокировано соединение

Пакет экспертиз Blitz Identity Provider (21.05.2024)

Фильтры:

1. ETECS.Blitz IDP.Атрибут подтвержден
2. ETECS.Blitz IDP.Восстановление доступа не выполнено
3. ETECS.Blitz IDP.Выдан маркер доступа
4. ETECS.Blitz IDP.Выдано OAuth-разрешение
5. ETECS.Blitz IDP.Выполнен вход
6. ETECS.Blitz IDP.Выполнен выход
7. ETECS.Blitz IDP.Выполнен запрос на восстановление доступа
8. ETECS.Blitz IDP.Выполнен запрос на регистрацию
9. ETECS.Blitz IDP.Выполнена аутентификация (при OAuth 2.0 Resource Owner Password Credentials)
10. ETECS.Blitz IDP.Выход с устройств (сброс сессий)
11. ETECS.Blitz IDP.Группа пользователей удалена
12. ETECS.Blitz IDP.Группа пользователей создана
13. ETECS.Blitz IDP.Добавлен администратор
14. ETECS.Blitz IDP.Добавлен ключ безопасности
15. ETECS.Blitz IDP.Добавлен, изменён или удалён атрибут
16. ETECS.Blitz IDP.Доступ к учётной записи восстановлен
17. ETECS.Blitz IDP.Задан пароль для приложения
18. ETECS.Blitz IDP.Запрос на аутентификацию
19. ETECS.Blitz IDP.Запрос на выход
20. ETECS.Blitz IDP.Отвязан TOTP-генератор
21. ETECS.Blitz IDP.Отзыв прав доступа
22. ETECS.Blitz IDP.Отозвано OAuth-разрешение
23. ETECS.Blitz IDP.Ошибка аутентификации
24. ETECS.Blitz IDP.Ошибка входа
25. ETECS.Blitz IDP.Пароль установлен администратором
26. ETECS.Blitz IDP.Пользователь включен в группу пользователей
27. ETECS.Blitz IDP.Пользователь исключен из группы пользователей
28. ETECS.Blitz IDP.Привязан HOTP-генератор
29. ETECS.Blitz IDP.Привязан TOTP-генератор
30. ETECS.Blitz IDP.Произведён обмен маркера доступа
31. ETECS.Blitz IDP.У группы пользователей изменён или удалён атрибут
32. ETECS.Blitz IDP.Удалён администратор
33. ETECS.Blitz IDP.Удалён ключ безопасности
34. ETECS.Blitz IDP.Удалён контрольный вопрос
35. ETECS.Blitz IDP.Установлен признак необходимости смены пароля
36. ETECS.Blitz IDP.Учётная запись заблокирована
37. ETECS.Blitz IDP.Учётная запись зарегистрирована
38. ETECS.Blitz IDP.Учётная запись отвязана от внешней
39. ETECS.Blitz IDP.Учётная запись привязана к внешней
40. ETECS.Blitz IDP.Учётная запись разблокирована
41. ETECS.Blitz IDP.Учётная запись удалена
42. ETECS.Blitz IDP.Изменён контрольный вопрос
43. ETECS.Blitz IDP.Изменён пароль пользователя
44. ETECS.Blitz IDP.Изменён режим аутентификации пользователя
45. ETECS.Blitz IDP.Изменён список заблокированных методов аутентификации
46. ETECS.Blitz IDP.Изменены настройки конфигурации
47. ETECS.Blitz IDP.Изменены роли администратора
48. ETECS.Blitz IDP.Изменён пароль администратора
49. ETECS.Blitz IDP.Код подтверждения отправлен в Push
50. ETECS.Blitz IDP.Код подтверждения отправлен на email
51. ETECS.Blitz IDP.Код подтверждения отправлен по SMS
52. ETECS.Blitz IDP.Мобильное приложение Duo Mobile отвязано
53. ETECS.Blitz IDP.Мобильное приложение Duo Mobile привязано
54. ETECS.Blitz IDP.Назначение прав доступа
55. ETECS.Blitz IDP.Неуспешный вход
56. ETECS.Blitz IDP.Отвязан HOTP-генератор
57. ETECS.Blitz IDP.Отказано в выдаче OAuth-разрешения
58. ETECS.Blitz IDP.Отказано в обмене маркера доступа

Директивы:

1. ETECS.Blitz IDP.Атрибут подтвержден
2. ETECS.Blitz IDP.Восстановление доступа не выполнено
3. ETECS.Blitz IDP.Выдан маркер доступа
4. ETECS.Blitz IDP.Выдано OAuth-разрешение
5. ETECS.Blitz IDP.Выполнен вход
6. ETECS.Blitz IDP.Выполнен выход
7. ETECS.Blitz IDP.Выполнен запрос на восстановление доступа
8. ETECS.Blitz IDP.Выполнен запрос на регистрацию
9. ETECS.Blitz IDP.Выполнена аутентификация (при OAuth 2.0 Resource Owner Password Credentials)
10. ETECS.Blitz IDP.Выход с устройств (сброс сессий)
11. ETECS.Blitz IDP.Группа пользователей удалена
12. ETECS.Blitz IDP.Группа пользователей создана
13. ETECS.Blitz IDP.Добавлен администратор
14. ETECS.Blitz IDP.Добавлен ключ безопасности
15. ETECS.Blitz IDP.Добавлен, изменён или удалён атрибут
16. ETECS.Blitz IDP.Доступ к учётной записи восстановлен
17. ETECS.Blitz IDP.Задан пароль для приложения
18. ETECS.Blitz IDP.Запрос на аутентификацию
19. ETECS.Blitz IDP.Запрос на выход
20. ETECS.Blitz IDP.Отвязан TOTP-генератор
21. ETECS.Blitz IDP.Отзыв прав доступа
22. ETECS.Blitz IDP.Отозвано OAuth-разрешение
23. ETECS.Blitz IDP.Ошибка аутентификации
24. ETECS.Blitz IDP.Ошибка входа
25. ETECS.Blitz IDP.Пароль установлен администратором
26. ETECS.Blitz IDP.Пользователь включен в группу пользователей
27. ETECS.Blitz IDP.Пользователь исключен из группы пользователей
28. ETECS.Blitz IDP.Привязан HOTP-генератор
29. ETECS.Blitz IDP.Привязан TOTP-генератор
30. ETECS.Blitz IDP.Произведён обмен маркера доступа
31. ETECS.Blitz IDP.У группы пользователей изменён или удалён атрибут
32. ETECS.Blitz IDP.Удалён администратор
33. ETECS.Blitz IDP.Удалён ключ безопасности
34. ETECS.Blitz IDP.Удалён контрольный вопрос
35. ETECS.Blitz IDP.Установлен признак необходимости смены пароля
36. ETECS.Blitz IDP.Учётная запись заблокирована
37. ETECS.Blitz IDP.Учётная запись зарегистрирована
38. ETECS.Blitz IDP.Учётная запись отвязана от внешней
39. ETECS.Blitz IDP.Учётная запись привязана к внешней
40. ETECS.Blitz IDP.Учётная запись разблокирована
41. ETECS.Blitz IDP.Учётная запись удалена
42. ETECS.Blitz IDP.Изменён контрольный вопрос
43. ETECS.Blitz IDP.Изменён пароль пользователя
44. ETECS.Blitz IDP.Изменён режим аутентификации пользователя
45. ETECS.Blitz IDP.Изменён список заблокированных методов аутентификации
46. ETECS.Blitz IDP.Изменены настройки конфигурации
47. ETECS.Blitz IDP.Изменены роли администратора
48. ETECS.Blitz IDP.Изменён пароль администратора
49. ETECS.Blitz IDP.Код подтверждения отправлен в Push
50. ETECS.Blitz IDP.Код подтверждения отправлен на email
51. ETECS.Blitz IDP.Код подтверждения отправлен по SMS
52. ETECS.Blitz IDP.Мобильное приложение Duo Mobile отвязано
53. ETECS.Blitz IDP.Мобильное приложение Duo Mobile привязано
54. ETECS.Blitz IDP.Назначение прав доступа
55. ETECS.Blitz IDP.Неуспешный вход
56. ETECS.Blitz IDP.Отвязан HOTP-генератор
57. ETECS.Blitz IDP.Отказано в выдаче OAuth-разрешения
58. ETECS.Blitz IDP.Отказано в обмене маркера доступа

Плагин:

1. Blitz IDP

Пользовательские поля нормализации:

1. IP

Пакет экспертиз Secret Net LSP (01.04.2024)

Фильтры:

1. ETECS. Secret Net LSP. Успешное добавление пользователя в "whitelist".
2. ETECS. Secret Net LSP. Политика "memory" плагина "control" была выключена.
3. ETECS. Secret Net LSP. Политика плагина "firewall" была выключена.
4. ETECS. Secret Net LSP. Успешное добавление нового пользователя.
5. ETECS. Secret Net LSP. Параметр "alg" политики плагина "aide" был изменен.
6. ETECS. Secret Net LSP. Один из параметров политики плагина "aec" был выключен.
7. ETECS. Secret Net LSP. Политика "authentication" плагина "token_mgr" успешно изменена.
8. ETECS. Secret Net LSP. Один из параметров плагина "system" был выключен.
9. ETECS. Secret Net LSP. Изменение атрибутов объекта.
10. ETECS. Secret Net LSP. Ошибка инициализации ПАК Соболь.
11. ETECS. Secret Net LSP. Ранее созданное правило удалено.
12. ETECS. Secret Net LSP. Один из параметров политики плагина "service_mgr" был выключен.
13. ETECS. Secret Net LSP. Политика "access_control" плагина "control" была выключена.
14. ETECS. Secret Net LSP. Изменения правила контроля устройств.
15. ETECS. Secret Net LSP. Обнаружено новое устройство.
16. ETECS. Secret Net LSP. Политика плагина "cups" была выключена.
17. ETECS. Secret Net LSP. Параметр "state" плагина "aide" был выключен.
18. ETECS. Secret Net LSP. Параметр "state" плагина "devices" был выключен.
19. ETECS. Secret Net LSP. Один из параметров политики плагина для "users" был изменен.
20. ETECS. Secret Net LSP. Параметр "verbose" политики плагина "devices" был изменен.

Директивы:

1. ETECS. Secret Net LSP. Успешное добавление пользователя в "whitelist".
2. ETECS. Secret Net LSP. Политика "memory" плагина "control" была выключена.
3. ETECS. Secret Net LSP. Политика плагина "firewall" была выключена.
4. ETECS. Secret Net LSP. Успешное добавление нового пользователя.
5. ETECS. Secret Net LSP. Параметр "alg" политики плагина "aide" был изменен.
6. ETECS. Secret Net LSP. Один из параметров политики плагина "aec" был выключен.
7. ETECS. Secret Net LSP. Политика "authentication" плагина "token_mgr" успешно изменена.
8. ETECS. Secret Net LSP. Один из параметров плагина "system" был выключен.
9. ETECS. Secret Net LSP. Изменение атрибутов объекта.
10. ETECS. Secret Net LSP. Ошибка инициализации ПАК Соболь.
11. ETECS. Secret Net LSP. Ранее созданное правило удалено.
12. ETECS. Secret Net LSP. Один из параметров политики плагина "service_mgr" был выключен.
13. ETECS. Secret Net LSP. Политика "access_control" плагина "control" была выключена.
14. ETECS. Secret Net LSP. Изменения правила контроля устройств.
15. ETECS. Secret Net LSP. Обнаружено новое устройство.
16. ETECS. Secret Net LSP. Политика плагина "cups" была выключена.
17. ETECS. Secret Net LSP. Параметр "state" плагина "aide" был выключен.
18. ETECS. Secret Net LSP. Параметр "state" плагина "devices" был выключен.
19. ETECS. Secret Net LSP. Один из параметров политики плагина для "users" был изменен.
20. ETECS. Secret Net LSP. Параметр "verbose" политики плагина "devices" был изменен.

Пакет экспертиз MikroTik OS (27.03.2024)

Фильтры:

1. ETECS. MikroTik. Изменение настроек proxy
2. ETECS. MikroTik. Изменение или добавление нового DNS static
3. ETECS. MikroTik. Добавлен Radius-клиент
4. ETECS. MikroTik. Обнаружен неизвестный DHCP-сервер
5. ETECS. MikroTik. Работа со скриптами
6. ETECS. MikroTik. Изменение NAT-правил
7. ETECS. MikroTik. Не удалось получить допустимое предложение IPSec
8. ETECS. MikroTik. Узел удален
9. ETECS. MikroTik. Установка TCP соединения
10. ETECS. MikroTik. Запуск консоли в графическом интерфейсе
11. ETECS. MikroTik. Изменение правил логирования
12. ETECS. MikroTik. Перезагрузка роутера
13. ETECS. MikroTik. Неудачная попытка входа
14. ETECS. MikroTik. Изменение правил МЭ
15. ETECS. MikroTik. Изменение или добавление интерфейса
16. ETECS. MikroTik. Добавление новой учетной записи

Директивы:

1. ETECS. MikroTik. Изменение настроек proxy
2. ETECS. MikroTik. Изменение или добавление нового DNS static
3. ETECS. MikroTik. Добавлен Radius-клиент
4. ETECS. MikroTik. Обнаружен неизвестный DHCP-сервер
5. ETECS. MikroTik. Работа со скриптами
6. ETECS. MikroTik. Изменение NAT-правил
7. ETECS. MikroTik. Не удалось получить допустимое предложение IPSec
8. ETECS. MikroTik. Узел удален
9. ETECS. MikroTik. Изменение правил логирования
10. ETECS. MikroTik. Перезагрузка роутера
11. ETECS. MikroTik. Множественная неудачная попытка входа
12. ETECS. MikroTik. Изменение правил МЭ
13. ETECS. MikroTik. Изменение или добавление интерфейса
14. ETECS. MikroTik. Добавление новой учетной записи

Пакет экспертиз S-Terra IDS (22.03.2024)

Фильтры:

1. ETECS. S-Terra IDS. Обнаружено внешнее SSH-подключение
2. ETECS. S-Terra IDS. Обнаружены ошибки в пакетах TCP
3. ETECS. S-Terra IDS. Сработало правило
4. ETECS. S-Terra IDS. Сработало правило на обнаружение TCP-соединений
5. ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносного ПО
6. ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносных редиректов
7. ETECS. S-Terra IDS. Сработало правило на обнаружение подозрительных имён файлов
8. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий администратора
9. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий пользователя
10. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток разведки
11. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток эксплуатации
12. ETECS. S-Terra IDS. Сработало правило на обнаружение потенциально плохого трафика
13. ETECS. S-Terra IDS. Сработало правило на обнаружение туннелирования трафика
14. ETECS. S-Terra IDS. Сработало правило на обнаружение утечки большого количества информации
15. ETECS. S-Terra IDS. Сработало правило на обнаружение шелл-кода в трафике
16. ETECS. S-Terra IDS. Сработало правило на попытки DoS-атаки
17. ETECS. S-Terra IDS. Сработало правило на потенциальное нарушение конфиденциальности информации
18. ETECS. S-Terra IDS. Сработало правило обнаружения атак на веб-приложения
19. ETECS. S-Terra IDS. Статистика соединений

Директивы:

1. ETECS. S-Terra IDS. Обнаружено внешнее SSH-подключение
2. ETECS. S-Terra IDS. Обнаружены ошибки в пакетах TCP
3. ETECS. S-Terra IDS. Сработало правило
4. ETECS. S-Terra IDS. Сработало правило на обнаружение TCP-соединений
5. ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносного ПО
6. ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносных редиректов
7. ETECS. S-Terra IDS. Сработало правило на обнаружение подозрительных имён файлов
8. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий пользователя
9. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток разведки
10. ETECS. S-Terra IDS. Сработало правило на обнаружение попыток эксплуатации
11. ETECS. S-Terra IDS. Сработало правило на обнаружение потенциально плохого трафика
12. ETECS. S-Terra IDS. Сработало правило на обнаружение туннелирования трафика
13. ETECS. S-Terra IDS. Сработало правило на обнаружение успешного получения привилегий администратора
14. ETECS. S-Terra IDS. Сработало правило на обнаружение утечки большого количества информации
15. ETECS. S-Terra IDS. Сработало правило на обнаружение шелл-кода в трафике
16. ETECS. S-Terra IDS. Сработало правило на попытки DoS-атаки
17. ETECS. S-Terra IDS. Сработало правило на потенциальное нарушение конфиденциальности информации
18. ETECS. S-Terra IDS. Сработало правило обнаружения атак на веб-приложения

Пакет экспертиз Continent TLS server (05.03.2024)

Фильтры:

1. ETECS. Continent TLS. Включение SSH на сервере
2. ETECS. Continent TLS. Добавление нового списка TSL
3. ETECS. Continent TLS. Ошибка аутентификации
4. ETECS. Continent TLS. Неудачная попытка авторизации с неверным сертификатом
5. ETECS. Continent TLS. Изменение настроек TLS-туннеля
6. ETECS. Continent TLS. Блокировка сервера
7. ETECS. Continent TLS. Удаление сертификата УЦ
8. ETECS. Continent TLS. Изменение настроек сети
9. ETECS. Continent TLS. Отключение защиты от брутфорса
10. ETECS. Continent TLS. Изменение настроек логирования

Директивы:

1. ETECS. Continent TLS. Включение SSH на сервере
2. ETECS. Continent TLS. Добавление нового списка TSL
3. ETECS. Continent TLS. Множественная ошибка аутентификации
4. ETECS. Continent TLS. Неудачная попытка авторизации с неверным сертификатом
5. ETECS. Continent TLS. Изменение настроек TLS-туннеля
6. ETECS. Continent TLS. Блокировка сервера
7. ETECS. Continent TLS. Удаление сертификата УЦ
8. ETECS. Continent TLS. Изменение настроек сети
9. ETECS. Continent TLS. Отключение защиты от брутфорса
10. ETECS. Continent TLS. Изменение настроек логирования

Плагин:

1. Continent TLS server

Бесплатный пакет экспертиз (29.02.2024)

Фильтры:

1. ETECS.Cyberprotect Backup and Recovery
2. ETECS.Dr.Web 13 Esuite Server.Вход в графический интерфейс
3. ETECS.Dr.Web 13 Esuite Server.Выход из графического интерфейса
4. ETECS.Dr.Web 13 Esuite Server.Обнаружение вредоносного файла
5. ETECS.File.Все события
6. ETECS.HTTP.Все события
7. ETECS.Internal.Все события
8. ETECS.Internal.Неуспешная попытка входа в КОМРАД
9. ETECS.KSC.Сбой обновления
10. ETECS.KSC.Срабатывание защиты
11. ETECS.KSC.Срабатывание самозащиты
12. ETECS.KSC.Сторонний источник баз САВЗ
13. ETECS.KSC.Устарели базы данных САВЗ
14. ETECS.Linux.SSH подключение
15. ETECS.Linux.Неправильный ввод пароля
16. ETECS.Linux.Очистка правил в iptables
17. ETECS.Linux.Ошибка аутентификации при попытке входа от учётной записи администратора
18. ETECS.Linux.Пароль для root был изменён
19. ETECS.Linux.Пользователь добавлен в группу
20. ETECS.Linux.Пользователь удалён из группы
21. ETECS.Linux.Создание нового пользователя
22. ETECS.Linux.Удаление пользователя
23. ETECS.SNMP.Все события
24. ETECS.SQL.Все события
25. ETECS.Syslog.Все события
26. ETECS.VipNet EPP.Системная активность
27. ETECS.VipNet HW.Изменился IP-aдрес сетевого узла
28. ETECS.Windows.Активность Windows PowerShell
29. ETECS.Windows.Антивирусная защита была отключена
30. ETECS.Windows.Все события
31. ETECS.Windows.Запуск нового процесса
32. ETECS.Windows.Изменение конфигурации межсетевого экрана
33. ETECS.Windows.Использование истории SID
34. ETECS.Windows.Неуспешная попытка входа в систему
35. ETECS.Windows.Обнаружение всех операций с учётными записями пользователей
36. ETECS.Windows.Обнаружение передачи пользователю прав локального администратора
37. ETECS.Windows.Очистка журналов
38. ETECS.Windows.Подключение и отключение сети
39. ETECS.Windows.Политика аудита системы была изменена.
40. ETECS.Windows.Создание нового пользователя
41. ETECS.Windows.Удаление пользователя
42. ETECS.xFlow.Все события
43. ETECS.Обнаружение важных антивирусных событий
44. ETECS.Рубикон.Вход пользователя в веб-интерфейс
45. ETECS.Рубикон.Вход пользователя в терминале
46. ETECS.Рубикон.Запуск/остановка СОВ обнаружения сканирования
47. ETECS.Рубикон.Критически мало места на жёстком диске
48. ETECS.Рубикон.Ошибка входа пользователя в терминале
49. ETECS.Рубикон.Ошибка контрольные суммы
50. ETECS.Рубикон.СОВ не запущена
51. ETECS.Рубикон.СОВ.Срабатывание СОВ
52. ETECS.Рубикон.Срабатывание МЭ
53. ETECS.Сканер-ВС 6.Выход пользователя из графического интерфейса
54. ETECS.Сканер-ВС 6.Добавлен новый актив
55. ETECS.Сканер-ВС 6.Инвентаризация актива успешно завершена
56. ETECS.Сканер-ВС 6.Найдены критические уязвимости
57. ETECS.Сканер-ВС 6.Найдены уязвимости
58. ETECS.Сканер-ВС 6.Найдены уязвимости с высокой критичностью
59. ETECS.Сканер-ВС 6.Найдены уязвимости с низкой критичностью
60. ETECS.Сканер-ВС 6.Найдены уязвимости со средней критичностью
61. ETECS.Сканер-ВС 6.Не удалось изменить пароль пользователю
62. ETECS.Сканер-ВС 6.Не удалось создать нового пользователя
63. ETECS.Сканер-ВС 6.Ошибка авторизации в графический интерфейс
64. ETECS.Сканер-ВС 6.Ошибка инвентаризации актива
65. ETECS.Сканер-ВС 6.Пароль пользователя успешно изменён
66. ETECS.Сканер-ВС 6.Создан новый пользователь
67. ETECS.Сканер-ВС 6.Удалён актив
68. ETECS.Сканер-ВС 6.Успешный вход пользователя

Директивы корреляции:

1. ETECS.Cyberprotect Backup and Recovery
2. ETECS.Dr.Web 13 Esuite Server.Вход в графический интерфейс
3. ETECS.Dr.Web 13 Esuite Server.Выход из графического интерфейса
4. ETECS.Dr.Web 13 Esuite Server.Обнаружение вредоносного файла
5. ETECS.Internal.Неуспешная попытка входа в КОМРАД
6. ETECS.KSC.Сбой обновления
7. ETECS.KSC.Срабатывание защиты
8. ETECS.KSC.Срабатывание самозащиты
9. ETECS.KSC.Сторонний источник баз САВЗ
10. ETECS.KSC.Устарели базы данных САВЗ
11. ETECS.Linux.SSH подключение
12. ETECS.Linux.Неправильный ввод пароля
13. ETECS.Linux.Очистка правил в iptables
14. ETECS.Linux.Ошибка аутентификации при попытке входа от учётной записи администратора
15. ETECS.Linux.Пароль для root был изменён
16. ETECS.Linux.Пользователь добавлен в группу
17. ETECS.Linux.Пользователь удалён из группы
18. ETECS.Linux.Создание нового пользователя
19. ETECS.Linux.Удаление пользователя
20. ETECS.VipNet EPP.Системная активность
21. ETECS.VipNet HW.Изменился IP-aдрес сетевого узла
22. ETECS.Windows.Активность Windows PowerShell
23. ETECS.Windows.Антивирусная защита была отключена
24. ETECS.Windows.Изменение конфигурации межсетевого экрана
25. ETECS.Windows.Использование истории SID
26. ETECS.Windows.Неуспешная попытка входа в систему
27. ETECS.Windows.Обнаружение всех операций с учётными записями пользователей
28. ETECS.Windows.Обнаружение передачи пользователю прав локального администратора
29. ETECS.Windows.Очистка журналов
30. ETECS.Windows.Политика аудита системы была изменена
31. ETECS.Windows.Создание нового пользователя
32. ETECS.Windows.Удаление пользователя
33. ETECS.Обнаружение важных антивирусных событий
34. ETECS.Рубикон.Запуск/остановка СОВ обнаружения сканирования
35. ETECS.Рубикон.Критически мало места на жёстком диске
36. ETECS.Рубикон.Ошибка входа пользователя в терминале
37. ETECS.Рубикон.Ошибка контрольные суммы
38. ETECS.Рубикон.СОВ не запущена
39. ETECS.Рубикон.СОВ.Сработало правило
40. ETECS.Рубикон.Срабатывание МЭ
41. ETECS.Сканер-ВС 6.Выход пользователя из графического интерфейса
42. ETECS.Сканер-ВС 6.Добавлен новый актив
43. ETECS.Сканер-ВС 6.Инвентаризация актива успешно завершена
44. ETECS.Сканер-ВС 6.На активах найдены критические уязвимости
45. ETECS.Сканер-ВС 6.Не удалось изменить пароль пользователю
46. ETECS.Сканер-ВС 6.Не удалось создать нового пользователя
47. ETECS.Сканер-ВС 6.Ошибка авторизации в графический интерфейс
48. ETECS.Сканер-ВС 6.Ошибка инвентаризации актива
49. ETECS.Сканер-ВС 6.Пароль пользователя успешно изменён
50. ETECS.Сканер-ВС 6.Создан новый пользователь
51. ETECS.Сканер-ВС 6.Удалён актив
52. ETECS.Сканер-ВС 6.Успешный вход пользователя

Плагины:

1. Рубикон
2. Сканер-ВС 6

Пользовательские поля нормализации:

1. Description
2. Event.Action
3. Event.Module
4. Event.Outcome
5. Message
6. Operation
7. Scanner.Packages.Count
8. Status
9. Subject
10. Vulnerability.Severity

Пакет экспертиз Microsoft-Windows-Sysmon Event (16.02.2024)

Фильтры:

1. ETECS. Microsoft-Windows-Sysmon Event id 1
2. ETECS. Microsoft-Windows-Sysmon Event id 2
3. ETECS. Microsoft-Windows-Sysmon Event id 3
4. ETECS. Microsoft-Windows-Sysmon Event id 4
5. ETECS. Microsoft-Windows-Sysmon Event id 5
6. ETECS. Microsoft-Windows-Sysmon Event id 6
7. ETECS. Microsoft-Windows-Sysmon Event id 7
8. ETECS. Microsoft-Windows-Sysmon Event id 8
9. ETECS. Microsoft-Windows-Sysmon Event id 9
10. ETECS. Microsoft-Windows-Sysmon Event id 10
11. ETECS. Microsoft-Windows-Sysmon Event id 11
12. ETECS. Microsoft-Windows-Sysmon Event id 12
13. ETECS. Microsoft-Windows-Sysmon Event id 13
14. ETECS. Microsoft-Windows-Sysmon Event id 14
15. ETECS. Microsoft-Windows-Sysmon Event id 15
16. ETECS. Microsoft-Windows-Sysmon Event id 16
17. ETECS. Microsoft-Windows-Sysmon Event id 17
18. ETECS. Microsoft-Windows-Sysmon Event id 18
19. ETECS. Microsoft-Windows-Sysmon Event id 19
20. ETECS. Microsoft-Windows-Sysmon Event id 20
21. ETECS. Microsoft-Windows-Sysmon Event id 21
22. ETECS. Microsoft-Windows-Sysmon Event id 22
23. ETECS. Microsoft-Windows-Sysmon Event id 23
24. ETECS. Microsoft-Windows-Sysmon Event id 24
25. ETECS. Microsoft-Windows-Sysmon Event id 25
26. ETECS. Microsoft-Windows-Sysmon Event id 26
27. ETECS. Microsoft-Windows-Sysmon Event id 27
28. ETECS. Microsoft-Windows-Sysmon Event id 28
29. ETECS. Microsoft-Windows-Sysmon Event id 255

Директивы:

1. ETECS. Microsoft-Windows-Sysmon Event id 8
2. ETECS. Microsoft-Windows-Sysmon Event id 16
3. ETECS. Microsoft-Windows-Sysmon Event id 27
4. ETECS. Microsoft-Windows-Sysmon Event id 255
5. ETECS. Microsoft-Windows-Sysmon Event id 4
6. ETECS. Microsoft-Windows-Sysmon Event id 6

Пакет экспертиз Dallas Lock 8.0-K (24.10.2023)

Фильтры:

1. ETECS. DallasLock. Отключение МЭ
2. ETECS. DallasLock. Включение МЭ
3. ETECS. DallasLock. Неправильный ввод пароля на клиенте
4. ETECS. DallasLock. Включение СОВ
5. ETECS. DallasLock. Все события журнала пакетов МЭ
6. ETECS. DallasLock. Отключение СОВ
7. ETECS. DallasLock. Вход в ОС
8. ETECS. DallasLock. Деактивация правила МЭ
9. ETECS. DallasLock. Редактирование общего правила МЭ
10. ETECS. DallasLock. Изменение политики аудита
11. ETECS. DallasLock. Активирован антивирус
12. ETECS. DallasLock. Срабатывание запрещающего правила МЭ
13. ETECS. DallasLock. Все события журнала трафика
14. ETECS. DallasLock. Запись параметров аудита
15. ETECS. DallasLock. Сканирование портов Клиента
16. ETECS. DallasLock. Добавление нового пользователя
17. ETECS. DallasLock. Изменение списка групп пользователя
18. ETECS. DallasLock. Создание группы учетных записей
19. ETECS. DallasLock. Удаление группы учетных записей
20. ETECS. DallasLock. Удаление пользователя
21. ETECS. DallasLock. Изменение пароля пользователя
22. ETECS. DallasLock. Редактирование сессии-исключения
23. ETECS. DallasLock. Удаление сессии-исключения
24. ETECS. DallasLock. Создание новой сессии-исключения
25. ETECS. DallasLock. Все события журнала управления учетными записями
26. ETECS. DallasLock. Все события журнала входов
27. ETECS. DallasLock. Запись параметров дискреционного доступа
28. ETECS. DallasLock. Все события журнала ресурсов
29. ETECS. DallasLock. Все события журнала процессов
30. ETECS. DallasLock. Все события журнала резервного копирования
31. ETECS. DallasLock. Все события журнала соединений МЭ
32. ETECS. DallasLock. Отправка документа на печать
33. ETECS. DallasLock. Изменение политик контроля целостности
34. ETECS. DallasLock. Удаление параметра у ветки реестра
35. ETECS. DallasLock. Создание ветки реестра
36. ETECS. DallasLock. Удаление ветки реестра
37. ETECS. DallasLock. Изменение ветки реестра
38. ETECS. DallasLock. Запрос ветки реестра
39. ETECS. DallasLock. Редактирование настроек безопасной среды СОВ
40. ETECS. DallasLock. Изменение сигнатур журналов СОВ
41. ETECS. DallasLock. Обновление СОВ
42. ETECS. DallasLock. Нарушена целостность реестра
43. ETECS. DallasLock. Доступ запрещен (журнал трафика МЭ)
44. ETECS. DallasLock. Открытие ветки реестра
45. ETECS. DallasLock. Актуальны сетевые сигнатуры и блок лист

Директивы:

1. ETECS. DallasLock. Вход в ОС
2. ETECS. DallasLock. Включение СОВ
3. ETECS. DallasLock. Деактивация правила МЭ
4. ETECS. DallasLock. Срабатывание запрещающего правила МЭ
5. ETECS. DallasLock. Неправильный ввод пароля на клиенте
6. ETECS. DallasLock. Включение МЭ
7. ETECS. DallasLock. Редактирование общего правила МЭ
8. ETECS. DallasLock. Изменение политики аудита
9. ETECS. DallasLock. Сканирование портов Клиента
10. ETECS. DallasLock. Добавление нового пользователя
11. ETECS. DallasLock. Изменение списка групп пользователя
12. ETECS. DallasLock. Создание группы учетных записей
13. ETECS. DallasLock. Отключение МЭ
14. ETECS. DallasLock. Отключение СОВ
15. ETECS. DallasLock. Удаление группы учетных записей
16. ETECS. DallasLock. Удаление пользователя
17. ETECS. DallasLock. Изменение пароля пользователя
18. ETECS. DallasLock. Редактирование сессии-исключения
19. ETECS. DallasLock. Удаление сессии-исключения
20. ETECS. DallasLock. Создание новой сессии-исключения
21. ETECS. DallasLock. Запись параметров дискреционного доступа
22. ETECS. DallasLock. Отправка документа на печать
23. ETECS. DallasLock. Изменение политик контроля целостности
24. ETECS. DallasLock. Удаление параметра у ветки реестра
25. ETECS. DallasLock. Удаление ветки реестра
26. ETECS. DallasLock. Редактирование настроек безопасной среды СОВ
27. ETECS. DallasLock. Изменение сигнатур журналов СОВ
28. ETECS. DallasLock. Нарушена целостность реестра
29. ETECS. DallasLock. Доступ запрещен (журнал трафика МЭ)
30. ETECS. DallasLock. Запись параметров аудита

Пакет экспертиз Linux Auditd (11.10.2023)

Фильтры:

1. ETECS. Linux Auditd. Все события auditd
2. ETECS. Linux Auditd. Отключение межсетевого экрана
3. ETECS. Linux Auditd. Изменение настроек межсетевого экрана
4. ETECS. Linux Auditd. Proctitle (служебный)
5. ETECS. Linux Auditd. Использование скрипта для внесения изменений в конфигурационные файлы ufw
6. ETECS. Linux Auditd. Изменение конфигурации аудита системы
7. ETECS. Linux Auditd. Nano vim
8. ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
9. ETECS. Linux Auditd. Proctitle 2
10. ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
11. ETECS. Linux Auditd. Создание учетной записи пользователя
12. ETECS. Linux Auditd. Перехват сетевого трафика
13. ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
14. ETECS. Linux Auditd. Завершение работы системы/перезагрузка
15. ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
16. ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
17. ETECS. Linux Auditd. Изменение атрибута времени файла
18. ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
19. ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
20. ETECS. Linux Auditd. Успешное SSH-подключение
21. ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
22. ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
23. ETECS. Linux Auditd. Остановка службы Systemd
24. ETECS. Linux Auditd. Служба успешно остановлена
25. ETECS. Linux Auditd. Служба успешно запущена
26. ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
27. ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
28. ETECS. Linux Auditd. Очистка логов Linux
29. ETECS. Linux Auditd. Удаление файла
30. ETECS. Linux Auditd. Редактирование репозиториев Linux
31. ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux
32. ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя

Директивы:

1. ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
2. ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
3. ETECS. Linux Auditd. Использование скрипта для внесения изменения в конфигурационные файлы ufw
4. ETECS. Linux Auditd. Остановка службы Systemd
5. ETECS. Linux Auditd. Изменение атрибута времени файла
6. ETECS. Linux Auditd. Изменение конфигурации аудита системы
7. ETECS. Linux Auditd. Изменение настроек межсетевого экрана
8. ETECS. Linux Auditd. Перехват сетевого трафика
9. ETECS. Linux Auditd. Создание учетной записи пользователя
10. ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
11. ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
12. ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
13. ETECS. Linux Auditd. Завершение работы системы/перезагрузка
14. ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
15. ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
16. ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя
17. ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
18. ETECS. Linux Auditd. Отключение межсетевого экрана
19. ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
20. ETECS. Linux Auditd. Успешное SSH-подключение
21. ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
22. ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
23. ETECS. Linux Auditd. Очистка логов Linux
24. ETECS. Linux Auditd. Удаление файла
25. ETECS. Linux Auditd. Редактирование репозиториев Linux
26. ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux

Пакет экспертиз Dr.Web Enterprise Security Suite 13 (05.10.2023)

Фильтры:

1. ETECS. Dr.Web. Server обнаружил эпидемию в сети
2. ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён автоматически
3. ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён вручную администратором
4. ETECS. Dr.Web. Зафиксировано большое количество разрывов соединений с клиентами
5. ETECS. Dr.Web. Количество зарегистрированных станций приближается к лицензионному ограничению
6. ETECS. Dr.Web. Лицензионный ключ был заблокирован на ВСО Dr.Web
7. ETECS. Dr.Web. На станции заканчивается свободное дисковое пространство
8. ETECS. Dr.Web. Не удалось выполнить авторизацию администратора
9. ETECS. Dr.Web. Не удалось выполнить авторизацию станции
10. ETECS. Dr.Web. Невозможно зарегистрировать новую станцию
11. ETECS. Dr.Web. Необходима перезагрузка станции
12. ETECS. Dr.Web. Новая станция ожидает подтверждения
13. ETECS. Dr.Web. Обнаружена угроза безопасности
14. ETECS. Dr.Web. Обнаружены множественные блокировки Контролем приложений
15. ETECS. Dr.Web. Обновление лицензионного ключа прошло успешно
16. ETECS. Dr.Web. Окончание срока действия лицензионного ключа
17. ETECS. Dr.Web. Ошибка запроса данных о продлении лицензионных ключей
18. ETECS. Dr.Web. Ошибка обновления продукта
19. ETECS. Dr.Web. Ошибка обновления репозитория
20. ETECS. Dr.Web. Ошибка сканирования на станции
21. ETECS. Dr.Web. Попытка авторизации за неизвестного администратора
22. ETECS. Dr.Web. Продукт в репозитории обновлен
23. ETECS. Dr.Web. Продукт имеет актуальную версию
24. ETECS. Dr.Web. Сканирование на станции завершено
25. ETECS. Dr.Web. Создан суммарный отчёт Превентивной защиты
26. ETECS. Dr.Web. Сработала блокировка Контролем приложений
27. ETECS. Dr.Web. Сработала превентивная защита
28. ETECS. Dr.Web. Станция давно не подключалась к Серверу
29. ETECS. Dr.Web. Станция не зарегистрирована в базе данных
30. ETECS. Dr.Web. Станция подтверждена администратором
31. ETECS. Dr.Web. Станция уже зарегистрирована
32. ETECS. Dr.Web. Требуется перезагрузка станции для применения обновлений
33. SQL. Сбор оповещений антивирусной сети

Директивы:

1. ETECS. Dr.Web. Server обнаружил эпидемию в сети
2. ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён автоматически
3. ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён вручную администратором
4. ETECS. Dr.Web. Зафиксировано большое количество разрывов соединений с клиентами
5. ETECS. Dr.Web. Количество зарегистрированных станций приближается к лицензионному ограничению
6. ETECS. Dr.Web. Лицензионный ключ был заблокирован на ВСО Dr.Web
7. ETECS. Dr.Web. На станции заканчивается свободное дисковое пространство
8. ETECS. Dr.Web. Не удалось выполнить авторизацию администратора
9. ETECS. Dr.Web. Не удалось выполнить авторизацию станции
10. ETECS. Dr.Web. Невозможно зарегистрировать новую станцию
11. ETECS. Dr.Web. Новая станция ожидает подтверждения
12. ETECS. Dr.Web. Обнаружена угроза безопасности
13. ETECS. Dr.Web. Обнаружены множественные блокировки Контролем приложений
14. ETECS. Dr.Web. Обновление лицензионного ключа прошло успешно
15. ETECS. Dr.Web. Окончание срока действия лицензионного ключа
16. ETECS. Dr.Web. Ошибка запроса данных о продлении лицензионных ключей
17. ETECS. Dr.Web. Ошибка обновления продукта
18. ETECS. Dr.Web. Ошибка обновления репозитория
19. ETECS. Dr.Web. Ошибка сканирования на станции
20. ETECS. Dr.Web. Попытка авторизации за неизвестного администратора
21. ETECS. Dr.Web. Продукт в репозитории обновлен
22. ETECS. Dr.Web. Сканирование на станции завершено
23. ETECS. Dr.Web. Создан суммарный отчёт Превентивной защиты
24. ETECS. Dr.Web. Сработала блокировка Контролем приложений
25. ETECS. Dr.Web. Сработала превентивная защита
26. ETECS. Dr.Web. Станция давно не подключалась к Серверу
27. ETECS. Dr.Web. Станция не зарегистрирована в базе данных
28. ETECS. Dr.Web. Станция подтверждена администратором
29. ETECS. Dr.Web. Станция уже зарегистрирована
30. ETECS. Dr.Web. Требуется перезагрузка станции

Пользовательские поля нормализации:

1. AlertName
2. Body
3. Subject

Плагин:

1. Dr.Web

Пакет экспертиз ГОСТ 57580.1 -2017 (02.10.2023)

Экспертиза по ГОСТ 57580.1 -2017. Это первая часть экспертизы по данному ГОСТу, в будущем планируется продолжить её разработку.

Покрываемый мониторинг из ГОСТ 57580.1–2017:

Пункт 7.2.1.2

• Мониторинг доступа пользователей в учетные записи (аудит входа/выхода)
• Мониторинг создания новых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)
• Мониторинг удаления старых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)

Пункт 7.2.1.3

• Мониторинг блокирование учетных записей (аудит управления учетными записями пользователей, аудит управления учетных записей компьютеров)
• Мониторинг изменения прав по предоставлению логического доступа (аудит управления группами безопасности)

Фильтры:

• 2000 – неправильный ввод пароля учётной записи ОС Windows (локальный WMI-агент)
• 2001 – аудит входа в учетную запись Win10
• 2002 – неправильный ввод пароля учётной записи ОС Windows
• 2003 – аудит выхода WinServer 2012r2
• 2004 – аудит выхода Windows 10 (Локальный WMI-агент)
• 2005 – создание новой учётной записи компьютера в домене
• 2006 – изменение учётной записи компьютера входящего в домен
• 2007 - удаление учётной записи компьютера входящего в домен
• 2008 – создание учётной записи пользователя домена
• 2009 – включение учётной записи пользователя домена
• 2010 – неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
• 2011 - неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
• 2012 - удачная попытка изменения пароля учётной записи пользователя домена
• 2013 - удачная попытка сброса пароля учётной записи пользователя домена
• 2014 - неудачная попытка сброса пароля учётной записи пользователя домена
• 2015 - отключение учётной записи пользователя домена
• 2016 - удаление учётной записи пользователя домена
• 2017 - изменение учётной записи пользователя домена
• 2018 - блокировка учётной записи пользователя домена
• 2019 - разблокирована учётная запись пользователя домена
• 2020 - создание локальной группы безопасности
• 2021 - добавление пользователя в локальную группу безопасности
• 2022 - удаление пользователя из локальной группы безопасности
• 2023 - удаление локальной группы безопасности
• 2024 - изменение локальной группы безопасности
• 2025 - изменение типа группы безопасности
• 2026 - создание глобальной группы безопасности
• 2027 - изменение глобальной группы безопасности
• 2028 - добавление пользователя в глобальную группу безопасности
• 2029 - удаление пользователя из глобальной группы безопасности
• 3030 - удаление глобальной группы безопасности
• 2031 - создание универсальной группы безопасности
• 2032 - изменение универсальной группы безопасности
• 2033 - добавление пользователя в универсальную группу безопасности
• 2034 - удаление пользователя из универсальной группы безопасности
• 2035 - удаление универсальной группы безопасности

Директивы корреляции:

• Вход в учетную запись Win10 - позволяет отслеживать вход в учетную запись пользователя домена на компьютере с ОС Windows 10 (Блокировка, Выход из системы, Сменить пользователя)
• Вход в учётную запись WinServer 2012r2 - позволяет отслеживать вход в учётную запись контроллера домена на компьютере с WinServer 2012r2
• Выход из учётной записи Windows - позволяет отслеживать выход из учётной записи (работает только на "Выход" из учётной записи через "Пуск"). Директива не сработает в случае выключения ОС
• Попытка подбора пароля Windows - позволяет отследить неправильный ввод пароля на Контроллере домена и Клиенте Домена от 3 и более раз. Регистрация событий происходит на локальных WMI-агентах
• Попытка подбора пароля учётной записи Windows (отслеживается с Контроллера домена) - позволяет отследить неправильный ввод пароля на Клиенте домена от 3-х раз. Регистрация событий происходит на Контроллере домена
• Создание новой учётной записи компьютера в домене - позволяет отслеживать создание новой учётной записи компьютера в домен, в том числе при вводе нового компьютера в домен
• Изменение учётной записи компьютера в домене - позволяет отслеживать изменение учётной записи компьютера в домене
• Удаление учётной записи компьютера в домене - позволяет отслеживать удаление учётной записи компьютера в домене
• Создание новой учётной записи пользователя домена - позволяет отслеживать создание новой учётной записи пользователя домена на Контроллере домена
• Включение учётной записи пользователя домена - позволяет отслеживать включение учётной записи пользователя домена на Контроллере домена
• Изменение пароля учётной записи пользователя домена - позволяет отследить удачное изменение пароля Пользователем домена на клиенте
• Попытка сброса пароля учётной записи пользователя домена - позволяет отследить неудачную попытку сброса пароля (смены пароля) учётной записи пользователя домена
• Сброс пароля учётной записи пользователя домена - позволяет отследить удачную попытку сброса пароля учётной записи пользователя домена на Контроллере домена
• Отключение учётной записи пользователя домена - позволяет отследить успешную попытку отключение учётной записи пользователя домена на Контроллере домена
• Удаление учётной записи пользователя домена - позволяет отследить успешное удаление учётной записи пользователя домена на Контроллере домена
• Изменение учётной записи пользователя домена - позволяет отследить изменения учётной записи пользователя домена. Все изменения перечислены в пункте «Примечание»
• Блокировка учётной записи пользователя домена - позволяет отследить блокировку учётной записи пользователя домена на Контроллере домена
• Разблокирование учётной записи - позволяет отследить разблокирование учётной записи пользователя домена на Контроллере домена
• Создание локальной группы безопасности - позволяет отследить создание локальной группы безопасности на Контроллере домена
• Добавление пользователя в локальную группу безопасности - позволяет отслеживать добавление пользователя в локальную группу безопасности домена на Контроллере домена
• Удаление пользователя из локальной группы безопасности - позволяет отслеживать удаление пользователя из локальной группы безопасности домена на Контроллере домена
• Удаление локальной группы политики безопасности - позволяет отследить удаление локальной группы политики безопасности домена на Контроллере домена
• Изменение локальной группы безопасности - позволяет отследить изменение локальной группы безопасности домена на Контроллере домена
• Изменение типа группы безопасности - позволяет отследить изменение типа группы безопасности домена на Контроллере домена
• Создание глобальной группы безопасности - позволяет отследить создание глобальной группы безопасности домена на Контроллере домена
• Изменение глобальной группы безопасности - позволяет отследить изменение глобальной группы безопасности домена на Контроллере домена. Срабатывает при добавлении и удалении пользователя в глобальную группу безопасности
• Добавление пользователя в глобальную группу безопасности - позволяет отследить добавление пользователя в глобальную группу безопасности на Контроллере домена
• Удаление пользователя из глобальной группы безопасности - позволяет отследить удаление пользователя из глобальной группы безопасности на Контроллере домена
• Удаление глобальной группы безопасности - позволяет отследить удаление глобальной группы безопасности на Контроллере домена
• Создание универсальной группы безопасности - позволяет отследить создание универсальной группы безопасности на Контроллере домена
• Изменение универсальной группы безопасности - позволяет отследить изменение универсальной группы безопасности на Контроллере домена
• Добавление пользователя в универсальную группу безопасности - позволяет отследить добавление пользователя в универсальную группу безопасности на Контроллере домена
• Удаление пользователя из универсальной группы безопасности - позволяет отследить удаление пользователя из универсальной группы безопасности на Контроллере домена
• Удаление универсальной группы безопасности - позволяет отследить удаление универсальной группы безопасности на Контроллере домена

Пакет экспертиз СКДПУ НТ (25.09.2023)

Фильтры:

1. ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
2. ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
3. ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
4. ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
5. ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
6. ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
7. ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
8. ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
9. ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
10. ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
11. ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
12. ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
13. ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
14. ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса сессии
15. ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
16. ETECS. IT-Bastion. Skdpu-nt. Передача файлов
17. ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
18. ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
19. ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
20. ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
21. ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
22. ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
23. ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
24. ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
25. ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
26. ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
27. ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
28. ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
29. ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
30. ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчета

Директивы:

1. ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
2. ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
3. ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
4. ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
5. ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
6. ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
7. ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
8. ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
9. ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
10. ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
11. ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
12. ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
13. ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
14. ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса
15. ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
16. ETECS. IT-Bastion. Skdpu-nt. Передача файлов
17. ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
18. ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
19. ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
20. ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
21. ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
22. ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
23. ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
24. ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
25. ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
26. ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
27. ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
28. ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
29. ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
30. ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчёта

Пакет экспертиз UserGate (07.09.2023)

Фильтры:

1. ETECS.UserGate.Включение удаленного помощника
2. ETECS.UserGate.Выключение защиты от спуфинга в зоне сети
3. ETECS.UserGate.Выключение правила СОВ
4. ETECS.UserGate.Добавление новой статической DNS-записи
5. ETECS.UserGate.Добавление правила, открывающего FW
6. ETECS.UserGate.Добавление учетной записи администратора
7. ETECS.UserGate.Запущено правило создание отчета
8. ETECS.UserGate.Изменение лимита DNS-запросов от одного пользователя в секунду
9. ETECS.UserGate.Изменение шлюза по умолчанию
10. ETECS.UserGate.Использование устаревшего алгоритма криптографического хеширования SHA-1
11. ETECS.UserGate.Не удалось обновить элемент
12. ETECS.UserGate.Неправильный ввод пароля или логина для входа в административный интерфейс
13. ETECS.UserGate.Неправильный ввод пароля(CLI)
14. ETECS.UserGate.Обнаружена активность троянских вирусных программ
15. ETECS.UserGate.Обнаружена попытка использовать уязвимость
16. ETECS.UserGate.Обнаружено использование сканера уязвимости в сети
17. ETECS.UserGate.Обнаружено сканирование сети утилитой NMAP
18. ETECS.UserGate.Отключение BATV в настройках антиспама
19. ETECS.UserGate.Отключение журналирования диагностики устройства
20. ETECS.UserGate.Отключение правила защиты от Dos
21. ETECS.Usergate.Отключение работы сценария
22. ETECS.UserGate.Очистка журналов диагностики
23. ETECS.UserGate.Потеряна связь с LDAP-сервером
24. ETECS.UserGate.Разрешение потенциального Dos-трафика в правиле защиты от Dos
25. ETECS.UserGate.Срабатывание правила СОВ
26. ETECS.UserGate.Сработала блокировка доступа к ресурсу по правилу фильтрации контента
27. ETECS.UserGate.Сработала защита от IP-спуфинга
28. ETECS.UserGate.Сработало правило защиты от Dos
29. ETECS.UserGate.Удаление сертификата
30. ETECS.UserGate.Экспорт номеров телефонов
31. ETECS.UserGate.Экспорт почтовых адресов

Директивы:

1. ETECS.UserGate.Включение удаленного помощника
2. ETECS.UserGate.Выключение защиты от спуфинга в зоне сети
3. ETECS.UserGate.Выключение правила СОВ
4. ETECS.UserGate.Добавление новой статической DNS-записи
5. ETECS.UserGate.Добавление правила, открывающего FW
6. ETECS.UserGate.Добавление учетной записи администратора
7. ETECS.UserGate.Запущено правило создание отчета
8. ETECS.UserGate.Изменение лимита DNS-запросов от одного пользователя в секунду
9. ETECS.UserGate.Изменение шлюза по умолчанию
10. ETECS.UserGate.Использование устаревшего алгоритма криптографического хеширования SHA-1
11. ETECS.UserGate.Не удалось обновить элемент
12. ETECS.UserGate.Неправильный ввод пароля или логина для входа в административный интерфейс
13. ETECS.UserGate.Неправильный ввод пароля(CLI)
14. ETECS.UserGate.Обнаружена активность троянских вирусных программ
15. ETECS.UserGate.Обнаружена попытка использовать уязвимость
16. ETECS.UserGate.Обнаружено использование сканера уязвимости в сети
17. ETECS.UserGate.Обнаружено сканирование сети утилитой NMAP
18. ETECS.UserGate.Отключение BATV в настройках антиспама
19. ETECS.UserGate.Отключение журналирования диагностики устройства
20. ETECS.UserGate.Отключение правила защиты от Dos
21. ETECS.Usergate.Отключение работы сценария
22. ETECS.UserGate.Очистка журналов диагностики
23. ETECS.UserGate.Потенциальная Dos-атака
24. ETECS.UserGate.Потеряна связь с LDAP-сервером
25. ETECS.UserGate.Разрешение потенциального Dos-трафика в правиле защиты от Dos
26. ETECS.UserGate.Срабатывание правила СОВ
27. ETECS.UserGate.Сработала блокировка доступа к ресурсу по правилу фильтрации контента
28. ETECS.UserGate.Сработала защита от IP-спуфинга
29. ETECS.UserGate.Удаление сертификата
30. ETECS.UserGate.Экспорт номеров телефонов
31. ETECS.UserGate.Экспорт почтовых адресов

Пакет экспертиз САЗ RedCheck (16.08.2023)

Фильтры:

1. ETECS.RedCheck. Все события
2. ETECS.RedCheck. Задание "Инвентаризация" завершено
3. ETECS.RedCheck. Задание "Фиксация" завершено
4. ETECS.RedCheck. Найден уязвимый порт
5. ETECS.RedCheck. Найдены критические уязвимости
6. ETECS.RedCheck. Найдены уязвимости
7. ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
8. ETECS.RedCheck. Ошибка в работе службы синхронизации
9. ETECS.RedCheck. Ошибка в работе службы сканирования
10. ETECS.RedCheck. Проверка доступности хоста прошла успешно
11. ETECS.RedCheck. Сканирование завершилось с ошибкой
12. ETECS.RedCheck. Хост недоступен

Директивы:

1. ETECS.RedCheck. Задание "Инвентаризация" завершено
2. ETECS.RedCheck. Задание "Фиксация" завершено
3. ETECS.RedCheck. Найден уязвимый порт
4. ETECS.RedCheck. Найдены критические уязвимости
5. ETECS.RedCheck. Найдены уязвимости
6. ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
7. ETECS.RedCheck. Ошибка в работе службы синхронизации
8. ETECS.RedCheck. Ошибка в работе службы сканирования
9. ETECS.RedCheck. Проверка доступности хоста прошла успешно
10. ETECS.RedCheck. Сканирование завершилось с ошибкой
11. ETECS.RedCheck. Хост недоступен

Пользовательские поля нормализации:

1. ECS.RedCheck.AccountName
2. ECS.RedCheck.CriticalSeverity
3. ECS.RedCheck.HighSeverity
4. ECS.RedCheck.InformationalSeverity
5. ECS.RedCheck.LowSeverity
6. ECS.RedCheck.MediumSeverity
7. ECS.RedCheck.OpenPort
8. ECS.RedCheck.ScanResult
9. ECS.RedCheck.ScanSettings
10. ECS.RedCheck.ScanType
11. ECS.RedCheck.TaskName
12. ECS.RedCheck.UnknownSeverity
13. ECS.RedCheck.VulnerabilityNumber

Пакет экспертиз Ideco UTM (15.08.2023)

Фильтры:

1. ETECS.Ideco UTM.Предотвращение вторжений. Авторизация с подозрительным логином
2. ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
3. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
4. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
5. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
6. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
7. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
8. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
9. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
10. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
11. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
12. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
13. ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
14. ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP протокола
15. ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS трафика для управления вредоносным ПО
16. ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
17. ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
18. ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
19. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
20. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
21. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
22. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
23. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
24. ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
25. ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
26. ETECS.Ideco UTM.Предотвращение вторжений.Обновления Windows
27. ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
28. ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
29. ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
30. ETECS.Ideco UTM. Предотвращение вторжений .Подозрительное обращение к файлам
31. ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
32. ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
33. ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
34. ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
35. ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
36. ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения системных файлов
37. ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
38. ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
39. ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
40. ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
41. ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
42. ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
43. ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
44. ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
45. ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
46. ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
47. ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
48. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
49. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
50. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
51. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
52. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
53. ETECS.Ideco UTM. Предотвращение вторжений. PT Open
54. ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты используемые вредоносным ПО и ботнетами
55. ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
56. ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
57. ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Директивы:

1. ETECS.Ideco UTM. Предотвращение вторжений. Авторизация с подозрительным логином
2. ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
3. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
4. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
5. ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
6. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
7. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
8. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
9. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
10. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
11. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
12. ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
13. ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
14. ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP-протокола
15. ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS-трафика для управления вредоносным ПО
16. ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
17. ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
18. ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
19. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
20. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
21. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
22. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
23. ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
24. ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
25. ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
26. ETECS.Ideco UTM. Предотвращение вторжений. Обновления Windows
27. ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
28. ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
29. ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
30. ETECS.Ideco UTM. Предотвращение вторжений. Подозрительное обращение к файлам
31. ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
32. ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
33. ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
34. ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
35. ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
36. ETECS.Ideco UTM. Предотвращение вторжений .Попытки получения системных файлов
37. ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
38. ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
39. ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
40. ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
41. ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
42. ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
43. ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
44. ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
45. ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
46. ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
47. ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
48. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
49. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
50. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
51. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
52. ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
53. ETECS.Ideco UTM. Предотвращение вторжений. PT Open
54. ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты, используемые вредоносным ПО и ботнетами
55. ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
56. ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
57. ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Пакет экспертиз Microsoft Exchange Server 2010 (17.07.2023)

Фильтры:

1. ETECS.Microsoft Exchange Server 2010. Создание группы рассылки
2. ETECS.Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
3. ETECS.Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
4. ETECS.Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
5. ETECS.Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
6. ETECS.Microsoft Exchange Server 2010. Удаление почтового ящика
7. ETECS.Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
8. ETECS.Microsoft Exchange Server 2010. Создание нового почтового контакта
9. ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
10. ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Set-OrganizationConfig
11. ETECS.Microsoft Exchange Server 2010. Отключение почтового ящика
12. ETECS.Microsoft Exchange Server 2010. Создание нового почтового ящика
13. ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
14. ETECS.Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
15. ETECS.Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
16. ETECS.Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
17. ETECS.Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
18. ETECS.Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
19. ETECS.Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
20. ETECS.Microsoft Exchange Server 2010. Включение Outlook Anywhere
21. ETECS.Microsoft Exchange Server 2010. Выключение Outlook Anywhere
22. ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Get-User
23. ETECS.Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA
24. ETECS.Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
25. ETECS.Microsoft Exchange Server 2010. Создание динамической группы рассылок
26. ETECS.Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
27. ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
28. ETECS.Microsoft Exchange Server 2010. Создание нового соединителя получения
29. ETECS.Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
30. ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Test-SystemHealth

Директивы:

1. ETECS. Microsoft Exchange Server 2010. Создание группы рассылки
2. ETECS. Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
3. ETECS. Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
4. ETECS. Microsoft Exchange Server 2010. Отключение почтового ящика
5. ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
6. ETECS. Microsoft Exchange Server 2010. Создание нового почтового ящика
7. ETECS. Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
8. ETECS. Microsoft Exchange Server 2010. Удаление почтового ящика
9. ETECS. Microsoft Exchange Server 2010. Сбор данных о работоспособности организации через консоль управления Exchange
10. ETECS. Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
11. ETECS. Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
12. ETECS. Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
13. ETECS. Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
14. ETECS. Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
15. ETECS. Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
16. ETECS. Microsoft Exchange Server 2010. Включение Outlook Anywhere
17. ETECS. Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
18. ETECS. Microsoft Exchange Server 2010. Создание динамической группы рассылок
19. ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
20. ETECS. Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
21. ETECS. Microsoft Exchange Server 2010. Выключение Outlook Anywhere
22. ETECS. Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
23. ETECS. Microsoft Exchange Server 2010. Создание нового почтового контакта
24. ETECS. Microsoft Exchange Server 2010. Создание нового соединителя получения
25. ETECS. Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
26. ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
27. ETECS. Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
28. ETECS. Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA

Пакет экспертиз Secret Net Studio (27.06.2023)

Фильтры:

1. ETECS. Secret Net Studio. Отключён защитный компонент системы
2. ETECS. Secret Net Studio. Базы СОВ устарели
3. ETECS. Secret Net Studio. Сервер обновлений недоступен
4. ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
5. ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
6. ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
7. ETECS. Secret Net Studio. Нарушение целостности ресурса
8. ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
9. ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
10. ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
11. ETECS. Secret Net Studio. Запрет подключения устройства
12. ETECS. Secret Net Studio. Антивирусные базы устарели
13. ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
14. ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
15. ETECS. Secret Net Studio. Запрет доступа к устройству
16. ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
17. ETECS. Secret Net Studio. Обнаружено новое устройство
18. ETECS. Secret Net Studio. Устройство удалено из системы
19. ETECS. Secret Net Studio. Ошибка при печати документа
20. ETECS. Secret Net Studio. Обнаружены изменения в процессе контроля аппаратной конфигурации
21. ETECS. Secret Net Studio. Изменение параметров устройства

Директивы:

1. ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
2. ETECS. Secret Net Studio. Ошибка при печати документа
3. ETECS. Secret Net Studio. Сервер обновлений недоступен
4. ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
5. ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
6. ETECS. Secret Net Studio. Нарушение целостности ресурса
7. ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
8. ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
9. ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
10. ETECS. Secret Net Studio. Запрет подключения устройства
11. ETECS. Secret Net Studio. Антивирусные базы устарели
12. ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
13. ETECS. Secret Net Studio. Базы СОВ устарели
14. ETECS. Secret Net Studio. Отключён защитный компонент системы
15. ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
16. ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
17. ETECS. Secret Net Studio. Запрет доступа к устройству
18. ETECS. Secret Net Studio. Изменение параметров устройства

Пакет экспертиз Continent4 (16.06.2023)

Фильтры:

1. ETECS.Continent4. Удаление правила из БРП
2. ETECS.Continent4. Обновлена конфигурация узлов
3. ETECS.Continent4. Обнаружена Dos-атака
4. ETECS.Continent4. Ошибка при загрузке файла
5. ETECS.Continent4. Ошибка авторизации администратора в локальной консоли управления
6. ETECS.Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
7. ETECS.Continent4. Неудачная попытка подключения по SSH
8. ETECS.Continent4. Обнаружен потенциально опасный трафик
9. ETECS.Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
10. ETECS.Continent4. Обнаружена попытка воспользоваться бэкдором
11. ETECS.Continent4. Обнаружена веб-атака
12. ETECS.Continent4. Обнаружена активность сканеров сети
13. ETECS.Continent4. Обнаружена активность эксплойтов
14. ETECS.Continent4. Произошло нарушение политики безопасности
15. ETECS.Continent4. Обнаружено рекламное ПО
16. ETECS.Continent4. В инфраструктуре обнаружено шпионское ПО
17. ETECS.Continent4. Обнаружена активность программы загрузчика вредоносных файлов
18. ETECS.Continent4. Обнаружена утечка информации
19. ETECS.Continent4. Потеряна связь ЦУСа с узлом безопасности
20. ETECS.Continent4. Экспорт резервной копии
21. ETECS.Continent4. Выполнена загрузка нового бэкапа
22. ETECS.Continent4. Изменен срок действия для пароля администратора
23. ETECS.Continent4. Firewall заблокировал трафик
24. ETECS.Continent4. Выключения устройства из локального меню
25. ETECS.Continent4. Инициирована очистка журнала из консоли управления
26. ETECS.Continent4. Очистка журнала завершена
27. ETECS.Continent4. Обнаружено новое USB-устройство подключенное к платформе
28. ETECS.Continent4. Модуль tlsvpn_monit не отвечает
29. ETECS.Continent4. Инициализирован запрос на выключение узла безопасности
30. ETECS.Continent4. Администратор отвязал лицензию от хоста
31. ETECS.Continent4. Добавлен администратор с правами встроенной роли администратора
32. ETECS.Continent4. Добавление роли администратора
33. ETECS.Continent4. Обновлена настройка роли администратора
34. ETECS.Continent4. Сервер мониторинга остановлен
35. ETECS.Continent4. Создана задача на создание резервной копии
36. ETECS.Continent4. Добавление новой УЗ администратора
37. ETECS.Continent4. Обновлена политика паролей

Директивы:

1. ETECS. Continent4. Firewall заблокировал трафик
2. ETECS. Continent4. Администратор отвязал лицензию от хоста
3. ETECS. Continent4. В инфраструктуре обнаружено шпионское ПО
4. ETECS. Continent4. Выключения устройства из локального меню
5. ETECS. Continent4. Загрузка нового бэкапа
6. ETECS. Continent4. Добавление новой УЗ администратора
7. ETECS. Continent4. Добавление роли администратора
8. ETECS. Continent4. Изменен срок действия для пароля администратора
9. ETECS. Continent4. Инициализирован запрос на выключение узла безопасности
10. ETECS. Continent4. Инициирована очистка журнала из консоли управления
11. ETECS. Continent4. Модуль tlsvpn_monit не отвечает
12. ETECS. Continent4. Обнаружена утечка информации
13. ETECS. Continent4. Обнаружена Dos-атака
14. ETECS. Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
15. ETECS. Continent4. Обнаружена активность программы загрузчика вредоносных файлов
16. ETECS. Continent4. Обнаружена активность сканеров сети
17. ETECS. Continent4. Обнаружена активность эксплойтов
18. ETECS. Continent4. Обнаружена веб-атака
19. ETECS. Continent4. Произошло нарушение политики безопасности (СОВ)
20. ETECS. Continent4. Обнаружена попытка воспользоваться бэкдором
21. ETECS. Continent4. Обнаружено новое USB-устройство, подключенное к платформе
22. ETECS. Continent4. Обнаружено рекламное ПО
23. ETECS. Continent4. Обновлена конфигурация узлов
24. ETECS. Continent4. Обновлена настройка роли администратора
25. ETECS. Continent4. Обновлена политика паролей
26. ETECS. Continent4. Ошибка авторизации администратора в локальной консоли управления
27. ETECS. Continent4. Неудачная попытка подключения по SSH
28. ETECS. Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
29. ETECS. Continent4. Ошибка при загрузке файла обновления
30. ETECS. Continent4. Потеряна связь ЦУСа с узлом безопасности
31. ETECS. Continent4. Сервер мониторинга остановлен
32. ETECS. Continent4. Экспортирована новая резервная копия
33. ETECS. Continent4. Удаление правила из БРП
34. ETECS. Contitent4. Обнаружен потенциально опасный трафик

Пакет экспертиз Cyber Protego (24.05.2023)

Фильтры:

1. ETECS. Cyber Protego. Запрещенный поисковый запрос
2. ETECS. Cyber Protego. Web-поиск запрещён
3. ETECS. Cyber Protego. Запрет на исходящий контент
4. ETECS. Cyber Protego. Запрет на входящий контент
5. ETECS. Cyber Protego. Запрет на копирование
6. ETECS. Cyber Protego. Создание снимка экрана
7. ETECS. Cyber Protego. Печать документа
8. ETECS. Cyber Protego. Ошибка чтения
9. ETECS. Cyber Protego. Монтирование/размонтирование диска
10. ETECS. Cyber Protego. Добавление/удаление устройств
11. ETECS. Cyber Protego. Keylogger обнаружен
12. ETECS. Cyber Protego. Подключение стороннего модема

Директивы:

1. ETECS. Cyber Protego. Web-поиск запрещён
2. ETECS. Cyber Protego. Запрещенный поисковый запрос
3. ETECS. Cyber Protego. Запрет на копирование
4. ETECS. Cyber Protego. Запрет на исходящий файл/сообщение
5. ETECS. Cyber Protego. Запрет на входящий файл/сообщение
6. ETECS. Cyber Protego. Создание снимка экрана
7. ETECS. Cyber Protego. Печать документа
8. ETECS. Cyber Protego. Ошибка чтения
9. ETECS. Cyber Protego. Монтирование/размонтирование диска
10. ETECS. Cyber Protego. Добавление/удаление устройств
11. ETECS. Cyber Protego. Keylogger обнаружен
12. ETECS. Cyber Protego. Подключение стороннего модема

Пакет экспертиз Staffcop Enterprise (14.02.2023)

Фильтры:

1. ETECS. Staffcop Enterprise. Любое событие
2. ETECS. Staffcop Enterprise. Запуск OneDrive
3. ETECS. Staffcop Enterprise. Запуск PowerShell
4. ETECS.Staffcop Enterprise. Изменение файлов в системе
5. ETECS.Staffcop Enterprise. Удалённое подключение администратора
6. ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
7. ETECS. Staffcop Enterprise. Архиваторы
8. ETECS. Staffcop Enterprise. Работа программ для майнинга
9. ETECS. Staffcop Enterprise. Обход мониторинга событий
10. ETECS. Staffcop Enterprise. Блокировка экрана
11. ETECS. Staffcop Enterprise. Ввод с клавиатуры
12. ETECS. Staffcop Enterprise. Информационная безопасность
13. ETECS. Staffcop Enterprise. Файлообменники
14. ETECS. Staffcop Enterprise. Инцидент
15. ETECS. Staffcop Enterprise. Системное manage

Директивы:

1. ETECS. Staffcop Enterprise. Запуск OneDrive
2. ETECS. Staffcop Enterprise. Запуск PowerShell
3. ETECS. Staffcop Enterprise. Изменение файлов в системе
4. ETECS. Staffcop Enterprise. Удалённое подключение администратора
5. ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
6. ETECS. Staffcop Enterprise. Архиваторы
7. ETECS. Staffcop Enterprise. Работа программ для майнинга
8. ETECS. Staffcop Enterprise. Обход мониторинга событий
9. ETECS. Staffcop Enterprise. Блокировка экрана
10. ETECS. Staffcop Enterprise. Информационная безопасность
11. ETECS. Staffcop Enterprise. Файлообменники
12. ETECS. Staffcop Enterprise. Системное manage

Пакет экспертиз ПК «Стахановец» (28.09.2024)

Фильтры:

1. ETECS.Stakhanovets. Запуск программы из списка угроз
2. ETECS.Stakhanovets. Запуск сайта из списка угроз
3. ETECS.Stakhanovets. Ввод текста из списка угроз
4. ETECS.Stakhanovets. Печать документа
5. ETECS.Stakhanovets. Копирование на flash-диск
6. ETECS.Stakhanovets. Копирование в выбранные папки
7. ETECS.Stakhanovets. Отправка файла " 107: " вставка flash-диска
8. ETECS.Stakhanovets. Изображение в буфере обмена
9. ETECS.Stakhanovets. DLP: чтение документа
10. ETECS.Stakhanovets. DLP: документ в буфере обмена
11. ETECS.Stakhanovets. DLP: текст в буфере обмена
12. ETECS.Stakhanovets. DLP: снимок экрана
13. ETECS.Stakhanovets. DLP: копирование на flash-диск
14. ETECS.Stakhanovets. DLP: копирование в выбранные папки
15. ETECS.Stakhanovets. DLP: отправка документа
16. ETECS.Stakhanovets. DLP: голос
17. ETECS.Stakhanovets. Нетипичное поведение
18. ETECS.Stakhanovets. Изменение оборудования/софта
19. ETECS.Stakhanovets. Возможное удаление клиента
20. ETECS.Stakhanovets. Нет лица перед веб-камерой
21. ETECS.Stakhanovets. Чужое лицо перед веб-камерой
22. ETECS.Stakhanovets. Более 1-го лица перед веб-камерой
23. ETECS.Stakhanovets. Отсрочка выключения ПК
24. ETECS.Stakhanovets. Проблема на клиенте
25. ETECS.Stakhanovets. Изменение состояния микрофона
26. ETECS.Stakhanovets. Критическое приложение/сайт
27. ETECS.Stakhanovets. Вход пользователя в систему
28. ETECS.Stakhanovets. Запуск программы из черного списка
29. ETECS.Stakhanovets. DLP: печать документа
30. ETECS.Stakhanovets. Запуск запрещенной команды в терминале Linux
31. ETECS.Stakhanovets. USB-устройство было заблокировано

Директивы:

1. ETECS.Stakhanovets. Запуск программы из списка угроз
2. ETECS.Stakhanovets. Запуск сайта из списка угроз
3. ETECS.Stakhanovets. Ввод текста из списка угроз
4. ETECS.Stakhanovets. Печать документа
5. ETECS.Stakhanovets. Копирование на flash-диск
6. ETECS.Stakhanovets. Копирование в выбранные папки
7. ETECS.Stakhanovets. Отправка файла " 107: " вставка flash-диска
8. ETECS.Stakhanovets. Изображение в буфере обмена
9. ETECS.Stakhanovets. DLP: чтение документа
10. ETECS.Stakhanovets. DLP: документ в буфере обмена
11. ETECS.Stakhanovets. DLP: текст в буфере обмена
12. ETECS.Stakhanovets. DLP: снимок экрана
13. ETECS.Stakhanovets. DLP: копирование на flash-диск
14. ETECS.Stakhanovets. DLP: копирование в выбранные папки
15. ETECS.Stakhanovets. DLP: отправка документа
16. ETECS.Stakhanovets. DLP: голос
17. ETECS.Stakhanovets. Нетипичное поведение
18. ETECS.Stakhanovets. Изменение оборудования/софта
19. ETECS.Stakhanovets. Возможное удаление клиента
20. ETECS.Stakhanovets. Нет лица перед веб-камерой
21. ETECS.Stakhanovets. Чужое лицо перед веб-камерой
22. ETECS.Stakhanovets. Более 1-го лица перед веб-камерой
23. ETECS.Stakhanovets. Отсрочка выключения ПК
24. ETECS.Stakhanovets. Проблема на клиенте
25. ETECS.Stakhanovets. Изменение состояния микрофона
26. ETECS.Stakhanovets. Критическое приложение/сайт
27. ETECS.Stakhanovets. Вход пользователя в систему
28. ETECS.Stakhanovets. Запуск программы из черного списка
29. ETECS.Stakhanovets. DLP: печать документа
30. ETECS.Stakhanovets. Запуск запрещенной команды в терминале Linux
31. ETECS.Stakhanovets. USB-устройство было заблокировано

Пакет экспертиз (март 2022)

Поля событий

При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий:

• Description - описание

Фильтры

Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.

• WMI. Блокирование учетной записи после многочисленных неуспешных попыток
• WMI. Обнаруживает удаление правила аудита
• WMI. Модификация ветвей реестра
• WMI. Обнаружение Shellcode Base64
• WMI. Обнаружение доступа к LSASS
• WMI. Обнаружение запуска скрипта PowerShell в AppData
• SQL. Kaspersky. Не установлено антивирусное ПО
• SQL. Kaspersky. Остановка задачи
• SQL. Kaspersky. Ошибка активации
• SQL. Kaspersky. Срабатывание защиты
• SQL. Kaspersky. Срабатывание самозащиты
• WMI. Обнаружение инъекции Mavinject
• SQL. Все события
• WMI. Обнаружение операций с учетными записями пользователей
• WMI. Обнаружение подозрительного дескриптора процесса в LSASS
• WMI. Блокирования учетной записи после многочисленных неуспешных попыток
• WMI. Обнаружение входа в систему с использованием протокола NTLM
• WMI. Обнаружение подозрительных SVCHOST процессов
• WMI. Обнаружение попытки входа под заблокированной учетной записью
• WMI. Обнаружение сброса/удаления журналов событий
• WMI. Обнаружение установки модуля собственного кода IIS
• WMI. Обнаружение удаления бекапов
• WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
• WMI. Подозрительная активность RASdial
• Syslog. Запуск NetCat
• WMI. Обнаружение возможной разведывательной деятельности
• WMI. Обнаружение запуска PsExec
• WMI. Обнаружение использования истории SID
• WMI. Обнаружение доступа к WCEaux.dll
• WMI. Обнаружение слабого шифрования в учетных записях
• WMI. Обнаружение использования PlugX из необычного расположения
• WMI. Обнаружение подозрительного процесса MSIEXEC
• WMI. Обнаружение подозрительной активности Rundll32
• WMI. Обнаружение синхронизации Miimikatz DC
• WMI. Обнаружение smbexec.py
• WMI. Обнаружение подозрительной командной строки PowerShell
• WMI. Все события
• WMI. Обнаружение возможного обхода Applocker
• WMI. Обнаружение доступа к групповым политикам
• WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
• WMI. Обнаружение флагов WannaCry
• WMI. Обнаружение включения прав для управления объектами
• SQL. Kaspersky. Режим ограниченной функциональности
• SQL. Kaspersky. Устарели базы САВЗ
• SQL. Kaspersky. Неполная комплектация САВЗ
• SQL. Kaspersky. Сбой обновления
• SQL. Kaspersky. Сторонний источник баз САВЗ
• All. Обнаружение важных антивирусных событий Linux. Ошибка аутентификации при попытке входа от учетной записи администратора
• WMI. Reverce RDP
• WMI. Обнаружение атаки - Понижение версии NetNTLM
• WMI. Обнаружение взлома - RULER
• WMI. Обнаружение вредоносной серверной установки
• WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
• WMI. Обнаружение использования Mimikatz
• WMI. Обнаружение передачи пользователю прав локального администратора
• WMI. Обнаруживает удаление правила аудита
• WMI. Обнаружение подозрительных мест запуска процесса

осторожно

Представленный набор фильтров является шаблоном. Для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Директивы корреляции

Директива определяет, что является инцидентом, а что нет. Мы берём кейсы наших заказчиков, ориентируемся на MITRE ATT&CK® и БДУ ФСТЭК и оформляем их как шаблоны для ваших директив.

• Kaspersky: Базы устарели
• Kaspersky: Сбой обновления
• Kaspersky: Остановка задачи
• Kaspersky: Срабатывание самозащиты
• Kaspersky: Не установлено антивирусное ПО
• Kaspersky: Срабатывание защиты
• Kaspersky: Ошибка активации
• Windows. Обнаружение слабого шифрования в учетных записях
• Windows. Обнаружение взлома - RULER
• Windows. Обнаружение доступа к LSASS
• Windows. Обнаружение использования Mimikatz
• Windows. Обнаружение синхронизации Miimikatz DC
• Windows. Обнаружение удаления правила аудита
• Windows. Обнаружение вредоносной серверной установки
• Windows. Обнаружение доступа к WCEaux.dll
• Windows. Обнаружение атаки - Понижение версии NetNTLM
• Windows. Обнаружение запуска PsExec
• Windows. Обнаружение использования истории SID
• Windows. Обнаружение удаления бекапов
• Windows. Обнаружение установки модуля собственного кода IIS
• Windows. Обнаружение smbexec.py
• Windows. Обнаружение использования PlugX из необычного расположения
• Windows. Обнаружение возможного обхода Applocker
• Windows. Обнаружение Shellcode Base64
• Windows. Обнаружение подозрительного процесса MSIEXEC
• Windows. Обнаружение возможной разведывательной деятельности
• Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
• Windows. Обнаружение входа в систему с использованием NTLM
• Windows. Обнаружение подозрительной командной строки PowerShell
• Windows. Обнаружение запуска скрипта PowerShell в AppData
• Windows. Обнаружение подозрительной активности Rundll32
• Windows. Обнаружение подозрительных мест запуска процесса
• Windows. Обнаружение подозрительных SVCHOST процессов
• Windows. Обнаружение передачи пользователю прав локального администратора
• Windows. Обнаружение флагов WannaCry
• Windows. Обнаружение попытки входа под заблокированной учетной записью
• Windows. Операции с учетными записями
• Kaspersky: Неполная комплектация антивирусного средства
• Kaspersky: Сторонний источник баз
• Kaspersky: Режим ограниченной функциональности
• Windows. Обнаружение инъекции Mavinject
• Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
• Windows. Обнаружение подозрительного дескриптора процесса в LSASS
• Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
• Windows. Обнаружение доступа к групповым политикам
• Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
• Windows. Reverce RDP
• Windows. Модификация ветвей реестра
• Syslog. Запуск NetCat
• Windows. Попытка входа от учетной записи администратора
• Windows. Подозрительная активность RASdial
• Windows. Обнаружение включения прав для управления объектами
• All. Обнаружение важных антивирусных событий
• Windows. Обнаружение сброса/удаления журналов

осторожно

Представленный набор директив является шаблоном. Для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Пакет экспертиз Infotecs ViPNet

Поля событий

При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий:

• CEFX.InfotecsEPPModule - ViPNet. Модуль
• CEFX.InfotecsEPPHost - ViPNet. Имя источника
• ECS.Log.Syslog.IdsSDID10812.Rev - ViPNet. Rev
• ECS.Log.Syslog.IdsSDID10812.Gid - ViPNet. Gid
• ECS.Log.Syslog.IdsSDID10812.Sid - ViPNet. Sid
• ECS.Log.Syslog.IdsSDID10812.Desc - ViPNet. Desc
• ECS.Source.ProcessName - ViPNet. Имя процесса
• ECS.Source.UserName - ViPNet. Активная учетная запись пользователя
• CEFX.InfotecsEPPThreatCat - ViPNet. Категория угрозы
• CEFX.InfTIASRecommendations - ViPNet. Рекомендации от TIAS

Фильтры

Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.

• ViPNet IDS NS. Действия пользователя. Вход/выход в систему
• ViPNet IDS NS. Изменение правил анализа. Добавление правила
• ViPNet IDS NS. Информационный уровень важности
• ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
• ViPNet IDS NS. ET MALWARE Webhancer Data Upload
• ViPNet IDS NS. Резервное копирование
• ViPNet IDS NS. Управление учетными записями
• ViPNet IDS NS. Изменение правил анализа
• ViPNet IDS NS. Изменения конфигурации
• ViPNet IDS NS. Состояния модулей
• ViPNet HW. Шаблон
• ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
• ViPNet IDS NS. Шаблон для CEF
• ViPNet IDS NS. Шаблон для RFC 3164
• ViPNet TIAS. Важность 7 и выше
• ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента
• ViPNet TIAS. Сообщение об обнаружении нового инцидента
• ViPNet TIAS. Шаблон
• ViPNet EPP. Контроль приложений
• ViPNet EPP. Неизвестный источник
• ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
• ViPNet EPP. Мониторинг системных обновлений
• ViPNet IDS NS. Высокий уровень важности
• ViPNet IDS NS. Низкий уровень важности
• ViPNet IDS NS. Средний уровень важности
• ViPNet EPP. Контроль реестра
• ViPNet EPP. Контроль установки приложений
• ViPNet EPP. Логины пользователей
• ViPNet EPP. Системная активность
• ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
• ViPNet EPP. Опасное событие
• ViPNet EPP. Сетевая активность /Правила обнаружения сетевых атак
• ViPNet EPP. Информационное событие
• ViPNet EPP. Критическое событие
• ViPNet EPP. Важное событие
• ViPNet EPP. Изменения учетных записей
• ViPNet EPP. Контроль выполняемых команд
• ViPNet EPP. Контроль процессов
• ViPNet EPP. Контроль файла
• ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
• ViPNet EPP. Шаблон по источнику/журналу событий
• ViPNet HW. Изменился IP-адрес сетевого узла
• ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
• ViPNet IDS NS. AM CURRENT_EVENTS Possible shellcode %u0a0a.
• ViPNet IDS NS. Анализ трафика
• ViPNet IDS NS. Действия пользователей
• ViPNet IDS NS. Очистка журнала событий. Неудача
• ViPNet IDS NS. Очистка журнала событий. Успех
• ViPNet IDS NS. Самотестирование
• ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
• ViPNet IDS NS. Шаблон для RFC 5424

осторожно

Представленный набор фильтров является шаблоном. Для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Директивы корреляции

• ViPNet EPP. Важное событие
• ViPNet EPP. Опасное событие
• ViPNet IDS NS. Средний уровень важности
• ViPNet IDS NS. Информационный уровень важности
• ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
• ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
• ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
• ViPNet IDS NS. Действия пользователя. Вход/выход в систему
• ViPNet IDS NS. Высокий уровень важности
• ViPNet IDS NS. Низкий уровень важности
• ViPNet IDS NS. Очистка журнала событий. Успех
• ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
• ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
• ViPNet EPP. Информационное событие
• ViPNet EPP. Критическое событие
• ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
• ViPNet TIAS. Важность 7 и выше
• ViPNet TIAS. Сообщение об обнаружении нового инцидента
• ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
• ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента