Версия: 4.3.58

История версий пакетов экспертиз

Пакет экспертиз ECP VeiL (17.10.2024)

Фильтры:

ETECS. Veil. USB устройство примонтировано к виртуальной машине
ETECS. Veil. Вход для пользователя ограничен из-за превышения лимита попыток аутентификации
ETECS. Veil. Выключение всех виртуальных машин кластера/вычислительного узла
ETECS. Veil. Выключение питания виртуальной машины
ETECS. Veil. Действие запрещено. Возможная потеря связи между вычислительным узлом и контроллером
ETECS. Veil. Достигнут критический уровень загрузки дисков
ETECS. Veil. Достигнут критический уровень загрузки памяти
ETECS. Veil. Достигнут критический уровень загрузки процессора
ETECS. Veil. Достигнут лимит добавления виртуальных машин
ETECS. Veil. Задача завершилась с неизвестной ошибкой
ETECS. Veil. Задача завершилась с ошибкой
ETECS. Veil. Запуск виртуальной машины
ETECS. Veil. Изменение параметров распределенного коммутатора
ETECS. Veil. Изменение пароля пользователя
ETECS. Veil. Изменение сетевой конфигурации
ETECS. Veil. Клонирование виртуальной машины
ETECS. Veil. Конфигурация сервиса веб-сервера успешно обновлена
ETECS. Veil. Миграция виртуальной машины невозможна
ETECS. Veil. Обновление параметров пула ресурсов
ETECS. Veil. Очищен журнал событий безопасности
ETECS. Veil. Ошибка клонирования виртуальной машины
ETECS. Veil. Ошибка обновления конфигурации сервиса веб-сервера
ETECS. Veil. Перезапуск брандмауэра на узле
ETECS. Veil. Перезапуск сетевых служб виртуальной сети
ETECS. Veil. Перезапуск службы DHCP виртуальной сети
ETECS. Veil. Перезапуск службы брандмауэра виртуальной сети
ETECS. Veil. Пользователь заблокирован в системе. Ошибка аутентификации
ETECS. Veil. Пользователь удален из системы
ETECS. Veil. Сервис неожиданно завершил работу. Выполняется перезапуск
ETECS. Veil. Создан пул ресурсов
ETECS. Veil. Создание виртуального коммутатора
ETECS. Veil. Создание виртуальной машины
ETECS. Veil. Создание пользователя
ETECS. Veil. Создание пользователя с правами администратора
ETECS. Veil. Создание распределенного коммутатора
ETECS. Veil. Удален снимок виртуальной машины
ETECS. Veil. Удаление виртуального коммутатора
ETECS. Veil. Удаление виртуальной машины
ETECS. Veil. Удаление распределенного коммутатора
ETECS. Veil. Удален пул ресурсов
ETECS. Veil. Указан неверный пароль. Ошибка аутентификации

Директивы:

ETECS. Veil. USB устройство примонтировано к виртуальной машине
ETECS. Veil. Вход для пользователя ограничен из-за превышения лимита попыток аутентификации
ETECS. Veil. Выключение всех виртуальных машин кластера/вычислительного узла
ETECS. Veil. Выключение питания виртуальной машины
ETECS. Veil. Действие запрещено. Возможная потеря связи между вычислительным узлом и контроллером
ETECS. Veil. Достигнут критический уровень загрузки дисков
ETECS. Veil. Достигнут критический уровень загрузки памяти
ETECS. Veil. Достигнут критический уровень загрузки процессора
ETECS. Veil. Достигнут лимит добавления виртуальных машин
ETECS. Veil. Задача завершилась с неизвестной ошибкой
ETECS. Veil. Задача завершилась с ошибкой
ETECS. Veil. Запуск виртуальной машины
ETECS. Veil. Изменение параметров распределенного коммутатора
ETECS. Veil. Изменение пароля пользователя
ETECS. Veil. Изменение сетевой конфигурации
ETECS. Veil. Клонирование виртуальной машины
ETECS. Veil. Конфигурация сервиса веб-сервера успешно обновлена
ETECS. Veil. Миграция виртуальной машины невозможна
ETECS. Veil. Обновление параметров пула ресурсов
ETECS. Veil. Очищен журнал событий безопасности
ETECS. Veil. Ошибка клонирования виртуальной машины
ETECS. Veil. Ошибка обновления конфигурации сервиса веб-сервера
ETECS. Veil. Перезапуск брандмауэра на узле
ETECS. Veil. Перезапуск сетевых служб виртуальной сети
ETECS. Veil. Перезапуск службы DHCP виртуальной сети
ETECS. Veil. Перезапуск службы брандмауэра виртуальной сети
ETECS. Veil. Пользователь заблокирован в системе. Ошибка аутентификации
ETECS. Veil. Пользователь удален из системы
ETECS. Veil. Сервис неожиданно завершил работу. Выполняется перезапуск
ETECS. Veil. Создан пул ресурсов
ETECS. Veil. Создание виртуального коммутатора
ETECS. Veil. Создание виртуальной машины
ETECS. Veil. Создание пользователя
ETECS. Veil. Создание пользователя с правами администратора
ETECS. Veil. Создание распределенного коммутатора
ETECS. Veil. Удален снимок виртуальной машины
ETECS. Veil. Удаление виртуального коммутатора
ETECS. Veil. Удаление виртуальной машины
ETECS. Veil. Удаление распределенного коммутатора
ETECS. Veil. Удалён пул ресурсов
ETECS. Veil. Указан неверный пароль. Ошибка аутентификации

Плагин:

ECP VeiL

Пакет экспертиз KSC Linux (01.10.2024)

Фильтры:

ETECS. KSC Linux. Аудит (изменение объекта)
ETECS. KSC Linux. Аудит (изменения в группах администрирования)
ETECS. KSC Linux. Аудит (изменения состояния объектов)
ETECS. KSC Linux. Аудит подключения к Серверу администрирования
ETECS. KSC Linux. Аудит: пользователь отключён от Сервера.
ETECS. KSC Linux. Базы обновлены.
ETECS. KSC Linux. Базы приложения применены
ETECS. KSC Linux. Базы устарели
ETECS. KSC Linux. Задача не запущена
ETECS. KSC Linux. Задача проверки по требованию прервана
ETECS. KSC Linux. Задача создана
ETECS. KSC Linux. Задача удалена
ETECS. KSC Linux. Обнаружена сетевая атака
ETECS. KSC Linux. Обнаружена угроза
ETECS. KSC Linux. Обнаружен защищённый паролем архив
ETECS. KSC Linux. Обнаружен недоверенный сертификат
ETECS. KSC Linux. Объект не вылечен
ETECS. KSC Linux. Ошибка при обработке объекта
ETECS. KSC Linux. Параметры задачи изменены
ETECS. KSC Linux. Параметры сети изменены
ETECS. KSC Linux. Программа удалена
ETECS. KSC Linux. Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно.
ETECS. KSC Linux. Прокси-сервер KSN остановлен.
ETECS. KSC Linux. Сетевая активность заблокирована
ETECS. KSC Linux. Состояние задачи изменено
ETECS. KSC Linux. Установлена программа
ETECS. KSC Linux. Установлено новое приложение
ETECS. KSC Linux. Функциональность недоступна по действующей лицензии

Директивы:

ETECS. KSC Linux. Аудит (изменение объекта)
ETECS. KSC Linux. Базы приложения применены
ETECS. KSC Linux. Базы устарели
ETECS. KSC Linux. Задача не запущена
ETECS. KSC Linux. Задача проверки по требованию прервана
ETECS. KSC Linux. Задача создана
ETECS. KSC Linux. Задача удалена
ETECS. KSC Linux. Обнаружена сетевая атака
ETECS. KSC Linux. Обнаружена угроза
ETECS. KSC Linux. Обнаружен защищённый паролем архив
ETECS. KSC Linux. Обнаружен недоверенный сертификат
ETECS. KSC Linux. Объект не вылечен
ETECS. KSC Linux. Ошибка при обработке объекта
ETECS. KSC Linux. Программа удалена
ETECS. KSC Linux. Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно.
ETECS. KSC Linux. Прокси-сервер KSN остановлен.
ETECS. KSC Linux. Сетевая активность заблокирована
ETECS. KSC Linux. Установлена программа
ETECS. KSC Linux. Установлено новое приложение
ETECS. KSC Linux. Функциональность недоступна по действующей лицензии

Пользовательские поля нормализации:

ECS.Log.Syslog.Event23668.Et
ECS.Log.Syslog.Event23668.Etdn
ECS.Log.Syslog.Event23668.Gn
ECS.Log.Syslog.Event23668.Hdn
ECS.Log.Syslog.Event23668.Hip

Пакет экспертиз Windows (26.07.2024)

Фильтры:

ETECS. WMI. DCOM InternetExplorer.Application предотвратило взлом библиотеки DLL
ETECS. WMI. DiagTrackEoP - имя пользователя для входа по умолчанию
ETECS. WMI. Hacktool Ruler
ETECS. WMI. Reverce RDP
ETECS. WMI. Активность сбросчика паролей в LSASS
ETECS. WMI. Атака на понижение статуса NetNTLM
ETECS. WMI. Аудит входа в учетную запись Windows 10
ETECS. WMI. Аудит входа в учетную запись Windows Server 2016
ETECS. WMI. Аудит выхода Windows 10
ETECS. WMI. Блокирования учетной записи после многочисленных неуспешных попыток
ETECS. WMI. Блокировка учётной записи пользователя домена
ETECS. WMI. Были установлены службы инструмента удаленного доступа
ETECS. WMI. Бэкдоры пользователей Active Directory
ETECS. WMI. Взлом учетной записи - Подозрительные причины неудачного входа в систему
ETECS. WMI. Включение прав пользователя в AD для управления пользовательскими объектами
ETECS. WMI. Включение учётной записи пользователя домена
ETECS. WMI. Внешний дисковый накопитель или USB-накопитель был распознан системой
ETECS. WMI. Все события
ETECS. WMI. Вход в систему по протоколу NTLMv1 между клиентом и cервером
ETECS. WMI. Вход по протоколу RDP с локального хоста
ETECS. WMI. Выполнение службы инструментов сброса учетных данных
ETECS. WMI. Для домена было создано новое доверительное управление
ETECS. WMI. Добавление пользователя в глобальную группу безопасности
ETECS. WMI. Добавление пользователя в локальную группу безопасности
ETECS. WMI. Добавление пользователя в универсальную группу безопасности
ETECS. WMI. Доступ к общему сетевому ресурсу ADMIN$
ETECS. WMI. Доступ к объекту AD WriteDAC
ETECS. WMI. Заблокированная рабочая станция
ETECS. WMI. Запрос доступа на чтение служебного раздела реестра
ETECS. WMI. Извлечение ключа резервной копии DPAPI домена
ETECS. WMI. Изменение глобальной группы безопасности
ETECS. WMI. Изменение локальной группы безопасности
ETECS. WMI. Изменение типа группы безопасности
ETECS. WMI. Изменение универсальной группы безопасности
ETECS. WMI. Изменение учётной записи компьютера входящего в домен
ETECS. WMI. Изменение учётной записи пользователя домена
ETECS. WMI. Исполняемый файл добавлен в планировщик задач
ETECS. WMI. Модификация ветвей реестра
ETECS. WMI. Монтированный образ ISO
ETECS. WMI. Необычное исходящее соединение Kerberos
ETECS. WMI. Неправильный ввод пароля учётной записи ОС Windows (Контроллер домена)
ETECS. WMI. Неправильный ввод пароля учётной записи ОС Windows (Локальный WMI-агент)
ETECS. WMI. Несанкционированное изменение системного времени
ETECS. WMI. Неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
ETECS. WMI. Неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
ETECS. WMI. Неудачная попытка сброса пароля учётной записи пользователя домена
ETECS. WMI. Неудачная проверка целостности кода
ETECS. WMI. Новая или переименованная учетная запись пользователя с символом "$"
ETECS. WMI. Обнаружение Shellcode Base64
ETECS. WMI. Обнаружение smbexec.py
ETECS. WMI. Обнаружение важных антивирусных событий
ETECS. WMI. Обнаружение включения прав для управления объектами
ETECS. WMI. Обнаружение возможного обхода Applocker
ETECS. WMI. Обнаружение вредоносной серверной установки
ETECS. WMI. Обнаружение входа в систему с использованием протокола NTLM
ETECS. WMI. Обнаружение доступа к LSASS
ETECS. WMI. Обнаружение доступа к WCEaux.dll
ETECS. WMI. Обнаружение доступа к групповым политикам
ETECS. WMI. Обнаружение запуска PsExec
ETECS. WMI. Обнаружение запуска скрипта PowerShell в AppData
ETECS. WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
ETECS. WMI. Обнаружение инъекции Mavinject
ETECS. WMI. Обнаружение использования Mimikatz
ETECS. WMI. Обнаружение использования PlugX из необычного расположения
ETECS. WMI. Обнаружение использования истории SID
ETECS. WMI. Обнаружение операций с учетными записями пользователей
ETECS. WMI. Обнаружение передачи пользователю прав локального администратора
ETECS. WMI. Обнаружение подозрительного дескриптора процесса в LSASS
ETECS. WMI. Обнаружение подозрительного процесса MSIEXEC
ETECS. WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
ETECS. WMI. Обнаружение подозрительной активности Rundll32
ETECS. WMI. Обнаружение подозрительной командной строки PowerShell
ETECS. WMI. Обнаружение подозрительных SVCHOST процессов
ETECS. WMI. Обнаружение подозрительных мест запуска процесса
ETECS. WMI. Обнаружение попытки входа под заблокированной учетной записью.
ETECS. WMI. Обнаружение сброса/удаления журналов событий
ETECS. WMI. Обнаружение синхронизации Mimikatz DC
ETECS. WMI. Обнаружение слабого шифрования в учетных записях
ETECS. WMI. Обнаружение удаления бекапов
ETECS. WMI. Обнаружение установки модуля собственного кода IIS
ETECS. WMI. Обнаружение флагов WannaCry
ETECS. WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
ETECS. WMI. Обнаруживает удаление правила аудита
ETECS. WMI. Отказано в доступе к удаленному рабочему столу
ETECS. WMI. Отключен аудит важных событий Windows
ETECS. WMI. Отключение учётной записи пользователя домена
ETECS. WMI. Открыт ZIP-файл, защищенный паролем. Подозрительные имена файлов (Windows Server 2019)
ETECS. WMI. Открыт защищенный паролем ZIP-файл (Windows Server 2019)
ETECS. WMI. Передача хэша деятельности (Pass the Hash Activity)
ETECS. WMI. Подозрительная активность RASdial
ETECS. WMI. Подозрительное обновление запланированной задачи
ETECS. WMI. Подозрительный доступ к конфиденциальным расширениям файлов
ETECS. WMI. Поиск привилегированных пользователей или групп объявлений
ETECS. WMI. Процессы доступа к микрофону и веб-камере
ETECS. WMI. Разблокирована учётная запись пользователя домена
ETECS. WMI. Разведывательная деятельность
ETECS. WMI. Регистрация нового процесса входа в систему от Rubeus
ETECS. WMI. Репликация Active Directory из учетной записи, не относящейся к компьютеру
ETECS. WMI. Сбой механизма защиты от вредоносных программ Microsoft
ETECS. WMI. Служба была установлена необычным клиентом
ETECS. WMI. Событие обработки объектов, связанных с подозрительными командами и приложениями
ETECS. WMI. Создана подозрительная локальная учетная запись Windows ANONYMOUS LOGON
ETECS. WMI. Создание глобальной группы безопасности
ETECS. WMI. Создание пользователя
ETECS. WMI. Создание локальной группы безопасности
ETECS. WMI. Создание новой учётной записи компьютера в домене
ETECS. WMI. Создание скрытого локального пользователя
ETECS. WMI. Создание универсальной группы безопасности
ETECS. WMI. Схема атаки KrbRelayUp
ETECS. WMI. Схема атаки, похожая на RottenPotato
ETECS. WMI. Сценарии PowerShell, установленные в качестве служб
ETECS. WMI. Удаление глобальной группы безопасности
ETECS. WMI. Удаление локальной группы безопасности
ETECS. WMI. Удаление пользователя из глобальной группы безопасности
ETECS. WMI. Удаление пользователя из локальной группы безопасности
ETECS. WMI. Удаление пользователя из универсальной группы безопасности
ETECS. WMI. Удаление универсальной группы безопасности
ETECS. WMI. Удаление учётной записи компьютера входящего в домен
ETECS. WMI. Удаление учётной записи пользователя домена
ETECS. WMI. Удаленное создание задачи с помощью именованного канала ATSVC
ETECS. WMI. Удаленные сеансы PowerShell сетевые подключения (WinRM)
ETECS. WMI. Удаленный вход пользователя-администратора
ETECS. WMI. Удачная попытка изменения пароля учётной записи пользователя домена
ETECS. WMI. Удачная попытка сброса пароля учётной записи пользователя домена
ETECS. WMI. Указана политика паролей
ETECS. WMI. Успешная попытка входа в учетную запись локального администратора
ETECS. WMI. Успешная попытка обхода хэша
ETECS. WMI. Установка сервиса HybridConnectionManager
ETECS. WMI. Установка устройства заблокирована

Директивы:

ETECS. Windows. DCOM InternetExplorer.Application предотвратило взлом библиотеки DLL
ETECS. Windows. Hacktool Ruler
ETECS. Windows. Reverce RDP
ETECS. Windows. Активность сбросчика паролей в LSASS
ETECS. Windows. Атака на понижение статуса NetNTLM
ETECS. Windows. Блокировка учётной записи пользователя домена
ETECS. Windows. Были установлены службы инструмента удаленного доступа
ETECS. Windows. Бэкдоры пользователей Active Directory
ETECS. Windows. Взлом учетной записи - Подозрительные причины неудачного входа в систему
ETECS. Windows. Включение прав пользователя в AD для управления пользовательскими объектами
ETECS. Windows. Включение учётной записи пользователя домена
ETECS. Windows. Внешний дисковый накопитель или USB-накопитель был распознан системой. Подключено новое устройство
ETECS. Windows. Вход в доменную учетную запись без административных прав (Windows 10)
ETECS. Windows. Вход в учетную запись (Windows 10)
ETECS. Windows. Вход в учётную запись администратора контроллера домена на Windows Server 2016
ETECS. Windows. Вход по протоколу RDP с localhost
ETECS. Windows. Выполнение службы инструментов сброса учетных данных
ETECS. Windows. Выход из учётной записи Windows
ETECS. Windows. Для домена было создано новое доверительное управление
ETECS. Windows. Добавление пользователя в глобальную группу безопасности
ETECS. Windows. Добавление пользователя в локальную группу безопасности
ETECS. Windows. Добавление пользователя в универсальную группу безопасности
ETECS. Windows. Доступ к общему сетевому ресурсу ADMIN$
ETECS. Windows. Доступ к объекту AD WriteDAC
ETECS. Windows. Заблокированная рабочая станция
ETECS. Windows. Запрос доступа на чтение служебного раздела реестра
ETECS. Windows. Извлечение ключа резервной копии DPAPI домена
ETECS. Windows. Изменение глобальной группы безопасности
ETECS. Windows. Изменение локальной группы безопасности
ETECS. Windows. Изменение пароля учётной записи пользователя домена
ETECS. Windows. Изменение типа группы безопасности
ETECS. Windows. Изменение универсальной группы безопасности
ETECS. Windows. Изменение учётной записи компьютера в домене
ETECS. Windows. Изменение учётной записи пользователя домена
ETECS. Windows. Исполняемый файл добавлен в планировщик задач
ETECS. Windows. Модификация ветвей реестра
ETECS. Windows. Монтированный образ ISO
ETECS. Windows. Необычное исходящее соединение Kerberos
ETECS. Windows. Несанкционированное изменение системного времени
ETECS. Windows. Неудачная проверка целостности кода
ETECS. Windows. Новая или переименованная учетная запись пользователя с символом "$"
ETECS. Windows. Обнаружение Shellcode Base64
ETECS. Windows. Обнаружение smbexec.py
ETECS. Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
ETECS. Windows. Обнаружение важных антивирусных событий
ETECS. Windows. Обнаружение включения прав для управления объектами
ETECS. Windows. Обнаружение возможного обхода Applocker
ETECS. Windows. Обнаружение вредоносной серверной установки
ETECS. Windows. Обнаружение входа в систему с использованием NTLM
ETECS. Windows. Обнаружение доступа к LSASS
ETECS. Windows. Обнаружение доступа к WCEaux.dll
ETECS. Windows. Обнаружение доступа к групповым политикам
ETECS. Windows. Обнаружение запуска PsExec
ETECS. Windows. Обнаружение запуска скрипта PowerShell в AppData
ETECS. Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
ETECS. Windows. Обнаружение инъекции Mavinject
ETECS. Windows. Обнаружение использования Mimikatz
ETECS. Windows. Обнаружение использования PlugX из необычного расположения
ETECS. Windows. Обнаружение использования истории SID
ETECS. Windows. Обнаружение передачи пользователю прав локального администратора
ETECS. Windows. Обнаружение подозрительного дескриптора процесса в LSASS
ETECS. Windows. Обнаружение подозрительного процесса MSIEXEC
ETECS. Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
ETECS. Windows. Обнаружение подозрительной активности Rundll32
ETECS. Windows. Обнаружение подозрительной командной строки PowerShell
ETECS. Windows. Обнаружение подозрительных SVCHOST процессов
ETECS. Windows. Обнаружение подозрительных мест запуска процесса
ETECS. Windows. Обнаружение попытки входа под заблокированной учетной записью
ETECS. Windows. Обнаружение сброса/удаления журналов
ETECS. Windows. Обнаружение синхронизации Mimikatz DC
ETECS. Windows. Обнаружение слабого шифрования в учетных записях
ETECS. Windows. Обнаружение удаления бекапов
ETECS. Windows. Обнаружение установки модуля собственного кода IIS
ETECS. Windows. Обнаружение флагов WannaCry
ETECS. Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
ETECS. Windows. Обнаружен скрипт PowerShell, установленный в качестве службы
ETECS. Windows. Обнаруживает удаление правила аудита
ETECS. Windows. Операции с учетными записями
ETECS. Windows. Определяет "имя пользователя" по умолчанию, используемое POC DiagTrackEoP
ETECS. Windows. Отказано в доступе к удаленному рабочему столу
ETECS. Windows. Отключен аудит важных событий Windows
ETECS. Windows. Отключение учётной записи пользователя домена
ETECS. Windows. Открыт ZIP-файл, защищенный паролем. Подозрительные имена файлов (Windows Server 2019)
ETECS. Windows. Открыт защищенный паролем ZIP-файл (Windows Server 2019)
ETECS. Windows. Передача хэша деятельности (Pass the Hash Activity)
ETECS. Windows. Подозрительная активность RASdial
ETECS. Windows. Подозрительное обновление запланированной задачи
ETECS. Windows. Подозрительный доступ к конфиденциальным расширениям файлов
ETECS. Windows. Поиск привилегированных пользователей или групп объявлений
ETECS. Windows. Попытка изменения пароля учётной записи пользователя домена
ETECS. Windows. Попытка подбора пароля учётной записи Windows (локальный WMI-агент)
ETECS. Windows. Попытка подбора пароля учётной записи Windows (Отслеживается с Контроллера домена)
ETECS. Windows. Попытка сброса пароля учётной записи пользователя домена
ETECS. Windows. Процессы доступа к микрофону и веб-камере
ETECS. Windows. Разблокирование учётной записи пользователя домена
ETECS. Windows. Разведывательная деятельность
ETECS. Windows. Регистрация нового процесса входа в систему от Rubeus
ETECS. Windows. Репликация Active Directory из учетной записи, не относящейся к компьютеру
ETECS. Windows. Сбой механизма защиты от вредоносных программ Microsoft
ETECS. Windows. Сброс пароля учётной записи пользователя домена
ETECS. Windows. Служба была установлена необычным клиентом
ETECS. Windows. Событие обработки объектов, связанных с подозрительными командами и приложениями
ETECS. Windows. Создана подозрительная локальная учетная запись Windows ANONYMOUS LOGON
ETECS. Windows. Создание глобальной группы безопасности
ETECS. Windows. Создание пользователя
ETECS. Windows. Создание локальной группы безопасности
ETECS. Windows. Создание новой учётной записи компьютера в домене
ETECS. Windows. Создание скрытого локального пользователя
ETECS. Windows. Создание универсальной группы безопасности
ETECS. Windows. Схема атаки KrbRelayUp
ETECS. Windows. Схема атаки, похожая на RottenPotato
ETECS. Windows. Удаление глобальной группы безопасности
ETECS. Windows. Удаление локальной группы безопасности
ETECS. Windows. Удаление пользователя из глобальной группы безопасности
ETECS. Windows. Удаление пользователя из локальной группы безопасности
ETECS. Windows. Удаление пользователя из универсальной группы безопасности
ETECS. Windows. Удаление универсальной группы безопасности
ETECS. Windows. Удаление учётной записи компьютера в домене
ETECS. Windows. Удаление учётной записи пользователя домена
ETECS. Windows. Удаленное создание задачи с помощью именованного канала ATSVC
ETECS. Windows. Удаленные сеансы PowerShell сетевые подключения (WinRM)
ETECS. Windows. Удаленный вход пользователя-администратора
ETECS. Windows. Указана политика паролей
ETECS. Windows. Успешная попытка входа в учетную запись локального администратора
ETECS. Windows. Успешная попытка обхода хэша
ETECS. Windows. Установка сервиса HybridConnectionManager
ETECS. Windows. Установка устройства заблокирована

Пакет экспертиз СОА Forpost (20.07.2024)

Фильтры:

ETECS. СОА Forpost. Выполнен вход в систему
ETECS. СОА Forpost. Выполнен выход из системы
ETECS. СОА Forpost. Запущена автоматическая очистка устаревших записей журналов
ETECS. СОА Forpost. Запущена автоматическая очистка устаревших записей журналов СОА по расписанию
ETECS. СОА Forpost. Запущено сканирование портов
ETECS. СОА Forpost. Зарегистрирован новый компонент
ETECS. СОА Forpost. Компонент отключился
ETECS. СОА Forpost. Компонент отключился с ошибкой
ETECS. СОА Forpost. Компонент подключился
ETECS. СОА Forpost. Компонент успешно стартовал
ETECS. СОА Forpost. Лицензия не найдена
ETECS. СОА Forpost. Неудачная попытка входа под пользователем
ETECS. СОА Forpost. Операция загрузки правил сетевого датчика успешно завершена
ETECS. СОА Forpost. Операция остановки и/или запуска компонента завершилась с ошибкой
ETECS. СОА Forpost. Отправлена операция 'Остановка' для компонента
ETECS. СОА Forpost. Отправлена операция 'Остановка и запуск' для компонента
ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов
ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов СОА
ETECS. СОА Forpost. Редактор правил сетевого датчика для этого компонента уже открыт
ETECS. СОА Forpost. Сканирование портов остановлено
ETECS. СОА Forpost. Сработало правило на сетевом датчике с уровнем критичности 5 и более
ETECS. СОА Forpost. Форпост Агент запустился

Директивы:

ETECS. СОА Forpost. Выполнен вход в систему
ETECS. СОА Forpost. Выполнен выход из системы
ETECS. СОА Forpost. Зарегистрирован новый компонент
ETECS. СОА Forpost. Компонент отключился
ETECS. СОА Forpost. Компонент отключился с ошибкой
ETECS. СОА Forpost. Компонент подключился
ETECS. СОА Forpost. Компонент успешно стартовал
ETECS. СОА Forpost. Лицензия не найдена
ETECS. СОА Forpost. Неудачная попытка входа под пользователем
ETECS. СОА Forpost. Операция остановки и/или запуска компонента завершилась с ошибкой
ETECS. СОА Forpost. Произведена автоматическая очистка устаревших записей из журналов СОА
ETECS. СОА Forpost. Сработало правило на сетевом датчике с уровнем критичности 5 и более

Плагин:

СОА Forpost

Пакет экспертиз KSC (19.07.2024)

Фильтры:

ETECS.KSC. Загрузка объекта запрещена
ETECS.KSC. Соединение заблокировано
ETECS.KSC. Обнаружен вредоносный объект
ETECS.KSC. Не удалось выполнить задачу
ETECS.KSC. Компоненты защиты выключены
ETECS.KSC. Отсутствовала связь KSC с SIEM-системой
ETECS.KSC. На устройстве обнаружен вредоносный объект
ETECS.KSC. Не удалось выполнить адаптивный контроль аномалий
ETECS.KSC. Статус устройства изменился
ETECS.KSC. Остановлена защита "Защита от сетевых угроз"
ETECS.KSC. Неактивное устройство было автоматически удалено
ETECS.KSC. Пользователь подключился к серверу администрирования
ETECS.KSC. Серверы KSN недоступны
ETECS.KSC. Остановлена защита "Сетевой экран"
ETECS.KSC. Остановлена защита "Защита от веб-угроз"
ETECS.KSC. Остановлена защита "Контроль устройств"
ETECS.KSC. Остановлена защита "Анализ поведения"
ETECS.KSC. Остановлена защита "Защита от почтовых угроз"
ETECS.KSC. Остановлена защита "AMSI-защита"
ETECS.KSC. Остановлена защита "Защита от файловых угроз"
ETECS.KSC. Остановлена защита "Веб-Контроль"
ETECS.KSC. Остановлена защита "Предотвращение вторжений"
ETECS.KSC. Остановлена защита "Защита от эксплойтов"
ETECS.KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
ETECS.KSC. Задача для набора устройств была удалена пользователем
ETECS.KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
ETECS.KSC. Ошибка взаимодействия с Kaspersky Security Center
ETECS.KSC. Ошибка обработки

Директивы:

ETECS. KSC. Остановлена защита "Предотвращение вторжений"
ETECS. KSC. Остановлена защита "Защита от эксплойтов"
ETECS. KSC. Остановлена защита "Веб-Контроль"
ETECS. KSC. Остановлена защита "Защита от файловых угроз"
ETECS. KSC. Остановлена защита "AMSI-защита"
ETECS. KSC. Остановлена защита "Анализ поведения"
ETECS. KSC. Остановлена защита "Контроль устройств"
ETECS. KSC. Остановлена защита "Сетевой экран"
ETECS. KSC. Серверы KSN недоступны
ETECS. KSC. Пользователь подключился к серверу администрирования
ETECS. KSC. Неактивное устройство было автоматически удалено
ETECS. KSC. Остановлена защита "Защита от сетевых угроз"
ETECS. KSC. Статус устройства изменился
ETECS. KSC. Не удалось выполнить адаптивный контроль аномалий
ETECS. KSC. Отсутствовала связь KSC с SIEM-системой
ETECS. KSC. Компоненты защиты выключены
ETECS. KSC. Не удалось выполнить задачу
ETECS. KSC. Обнаружен вредоносный объект
ETECS. KSC. Ошибка обработки
ETECS. KSC. На устройстве обнаружен вредоносный объект
ETECS. KSC. Загрузка объекта запрещена
ETECS. KSC. Ошибка взаимодействия с Kaspersky Security Center
ETECS. KSC. Политика "Kaspersky Endpoint Security для Windows" была изменена пользователем
ETECS. KSC. Задача для набора устройств была удалена пользователем
ETECS. KSC. Остановлена защита "Защита от веб-угроз"
ETECS. KSC. Политика "Сервер администрирования Kaspersky Security Center" была удалена пользователем
ETECS. KSC. Остановлена защита "Защита от почтовых угроз"
ETECS. KSC. Было заблокировано соединение

Пакет экспертиз Blitz Identity Provider (21.05.2024)

Фильтры:

ETECS.Blitz IDP.Атрибут подтвержден
ETECS.Blitz IDP.Восстановление доступа не выполнено
ETECS.Blitz IDP.Выдан маркер доступа
ETECS.Blitz IDP.Выдано OAuth-разрешение
ETECS.Blitz IDP.Выполнен вход
ETECS.Blitz IDP.Выполнен выход
ETECS.Blitz IDP.Выполнен запрос на восстановление доступа
ETECS.Blitz IDP.Выполнен запрос на регистрацию
ETECS.Blitz IDP.Выполнена аутентификация (при OAuth 2.0 Resource Owner Password Credentials)
ETECS.Blitz IDP.Выход с устройств (сброс сессий)
ETECS.Blitz IDP.Группа пользователей удалена
ETECS.Blitz IDP.Группа пользователей создана
ETECS.Blitz IDP.Добавлен администратор
ETECS.Blitz IDP.Добавлен ключ безопасности
ETECS.Blitz IDP.Добавлен, изменён или удалён атрибут
ETECS.Blitz IDP.Доступ к учётной записи восстановлен
ETECS.Blitz IDP.Задан пароль для приложения
ETECS.Blitz IDP.Запрос на аутентификацию
ETECS.Blitz IDP.Запрос на выход
ETECS.Blitz IDP.Отвязан TOTP-генератор
ETECS.Blitz IDP.Отзыв прав доступа
ETECS.Blitz IDP.Отозвано OAuth-разрешение
ETECS.Blitz IDP.Ошибка аутентификации
ETECS.Blitz IDP.Ошибка входа
ETECS.Blitz IDP.Пароль установлен администратором
ETECS.Blitz IDP.Пользователь включен в группу пользователей
ETECS.Blitz IDP.Пользователь исключен из группы пользователей
ETECS.Blitz IDP.Привязан HOTP-генератор
ETECS.Blitz IDP.Привязан TOTP-генератор
ETECS.Blitz IDP.Произведён обмен маркера доступа
ETECS.Blitz IDP.У группы пользователей изменён или удалён атрибут
ETECS.Blitz IDP.Удалён администратор
ETECS.Blitz IDP.Удалён ключ безопасности
ETECS.Blitz IDP.Удалён контрольный вопрос
ETECS.Blitz IDP.Установлен признак необходимости смены пароля
ETECS.Blitz IDP.Учётная запись заблокирована
ETECS.Blitz IDP.Учётная запись зарегистрирована
ETECS.Blitz IDP.Учётная запись отвязана от внешней
ETECS.Blitz IDP.Учётная запись привязана к внешней
ETECS.Blitz IDP.Учётная запись разблокирована
ETECS.Blitz IDP.Учётная запись удалена
ETECS.Blitz IDP.Изменён контрольный вопрос
ETECS.Blitz IDP.Изменён пароль пользователя
ETECS.Blitz IDP.Изменён режим аутентификации пользователя
ETECS.Blitz IDP.Изменён список заблокированных методов аутентификации
ETECS.Blitz IDP.Изменены настройки конфигурации
ETECS.Blitz IDP.Изменены роли администратора
ETECS.Blitz IDP.Изменён пароль администратора
ETECS.Blitz IDP.Код подтверждения отправлен в Push
ETECS.Blitz IDP.Код подтверждения отправлен на email
ETECS.Blitz IDP.Код подтверждения отправлен по SMS
ETECS.Blitz IDP.Мобильное приложение Duo Mobile отвязано
ETECS.Blitz IDP.Мобильное приложение Duo Mobile привязано
ETECS.Blitz IDP.Назначение прав доступа
ETECS.Blitz IDP.Неуспешный вход
ETECS.Blitz IDP.Отвязан HOTP-генератор
ETECS.Blitz IDP.Отказано в выдаче OAuth-разрешения
ETECS.Blitz IDP.Отказано в обмене маркера доступа

Директивы:

ETECS.Blitz IDP.Атрибут подтвержден
ETECS.Blitz IDP.Восстановление доступа не выполнено
ETECS.Blitz IDP.Выдан маркер доступа
ETECS.Blitz IDP.Выдано OAuth-разрешение
ETECS.Blitz IDP.Выполнен вход
ETECS.Blitz IDP.Выполнен выход
ETECS.Blitz IDP.Выполнен запрос на восстановление доступа
ETECS.Blitz IDP.Выполнен запрос на регистрацию
ETECS.Blitz IDP.Выполнена аутентификация (при OAuth 2.0 Resource Owner Password Credentials)
ETECS.Blitz IDP.Выход с устройств (сброс сессий)
ETECS.Blitz IDP.Группа пользователей удалена
ETECS.Blitz IDP.Группа пользователей создана
ETECS.Blitz IDP.Добавлен администратор
ETECS.Blitz IDP.Добавлен ключ безопасности
ETECS.Blitz IDP.Добавлен, изменён или удалён атрибут
ETECS.Blitz IDP.Доступ к учётной записи восстановлен
ETECS.Blitz IDP.Задан пароль для приложения
ETECS.Blitz IDP.Запрос на аутентификацию
ETECS.Blitz IDP.Запрос на выход
ETECS.Blitz IDP.Отвязан TOTP-генератор
ETECS.Blitz IDP.Отзыв прав доступа
ETECS.Blitz IDP.Отозвано OAuth-разрешение
ETECS.Blitz IDP.Ошибка аутентификации
ETECS.Blitz IDP.Ошибка входа
ETECS.Blitz IDP.Пароль установлен администратором
ETECS.Blitz IDP.Пользователь включен в группу пользователей
ETECS.Blitz IDP.Пользователь исключен из группы пользователей
ETECS.Blitz IDP.Привязан HOTP-генератор
ETECS.Blitz IDP.Привязан TOTP-генератор
ETECS.Blitz IDP.Произведён обмен маркера доступа
ETECS.Blitz IDP.У группы пользователей изменён или удалён атрибут
ETECS.Blitz IDP.Удалён администратор
ETECS.Blitz IDP.Удалён ключ безопасности
ETECS.Blitz IDP.Удалён контрольный вопрос
ETECS.Blitz IDP.Установлен признак необходимости смены пароля
ETECS.Blitz IDP.Учётная запись заблокирована
ETECS.Blitz IDP.Учётная запись зарегистрирована
ETECS.Blitz IDP.Учётная запись отвязана от внешней
ETECS.Blitz IDP.Учётная запись привязана к внешней
ETECS.Blitz IDP.Учётная запись разблокирована
ETECS.Blitz IDP.Учётная запись удалена
ETECS.Blitz IDP.Изменён контрольный вопрос
ETECS.Blitz IDP.Изменён пароль пользователя
ETECS.Blitz IDP.Изменён режим аутентификации пользователя
ETECS.Blitz IDP.Изменён список заблокированных методов аутентификации
ETECS.Blitz IDP.Изменены настройки конфигурации
ETECS.Blitz IDP.Изменены роли администратора
ETECS.Blitz IDP.Изменён пароль администратора
ETECS.Blitz IDP.Код подтверждения отправлен в Push
ETECS.Blitz IDP.Код подтверждения отправлен на email
ETECS.Blitz IDP.Код подтверждения отправлен по SMS
ETECS.Blitz IDP.Мобильное приложение Duo Mobile отвязано
ETECS.Blitz IDP.Мобильное приложение Duo Mobile привязано
ETECS.Blitz IDP.Назначение прав доступа
ETECS.Blitz IDP.Неуспешный вход
ETECS.Blitz IDP.Отвязан HOTP-генератор
ETECS.Blitz IDP.Отказано в выдаче OAuth-разрешения
ETECS.Blitz IDP.Отказано в обмене маркера доступа

Плагин:

Blitz IDP

Пользовательские поля нормализации:

IP

Пакет экспертиз Secret Net LSP (01.04.2024)

Фильтры:

ETECS. Secret Net LSP. Успешное добавление пользователя в "whitelist".
ETECS. Secret Net LSP. Политика "memory" плагина "control" была выключена.
ETECS. Secret Net LSP. Политика плагина "firewall" была выключена.
ETECS. Secret Net LSP. Успешное добавление нового пользователя.
ETECS. Secret Net LSP. Параметр "alg" политики плагина "aide" был изменен.
ETECS. Secret Net LSP. Один из параметров политики плагина "aec" был выключен.
ETECS. Secret Net LSP. Политика "authentication" плагина "token_mgr" успешно изменена.
ETECS. Secret Net LSP. Один из параметров плагина "system" был выключен.
ETECS. Secret Net LSP. Изменение атрибутов объекта.
ETECS. Secret Net LSP. Ошибка инициализации ПАК Соболь.
ETECS. Secret Net LSP. Ранее созданное правило удалено.
ETECS. Secret Net LSP. Один из параметров политики плагина "service_mgr" был выключен.
ETECS. Secret Net LSP. Политика "access_control" плагина "control" была выключена.
ETECS. Secret Net LSP. Изменения правила контроля устройств.
ETECS. Secret Net LSP. Обнаружено новое устройство.
ETECS. Secret Net LSP. Политика плагина "cups" была выключена.
ETECS. Secret Net LSP. Параметр "state" плагина "aide" был выключен.
ETECS. Secret Net LSP. Параметр "state" плагина "devices" был выключен.
ETECS. Secret Net LSP. Один из параметров политики плагина для "users" был изменен.
ETECS. Secret Net LSP. Параметр "verbose" политики плагина "devices" был изменен.

Директивы:

ETECS. Secret Net LSP. Успешное добавление пользователя в "whitelist".
ETECS. Secret Net LSP. Политика "memory" плагина "control" была выключена.
ETECS. Secret Net LSP. Политика плагина "firewall" была выключена.
ETECS. Secret Net LSP. Успешное добавление нового пользователя.
ETECS. Secret Net LSP. Параметр "alg" политики плагина "aide" был изменен.
ETECS. Secret Net LSP. Один из параметров политики плагина "aec" был выключен.
ETECS. Secret Net LSP. Политика "authentication" плагина "token_mgr" успешно изменена.
ETECS. Secret Net LSP. Один из параметров плагина "system" был выключен.
ETECS. Secret Net LSP. Изменение атрибутов объекта.
ETECS. Secret Net LSP. Ошибка инициализации ПАК Соболь.
ETECS. Secret Net LSP. Ранее созданное правило удалено.
ETECS. Secret Net LSP. Один из параметров политики плагина "service_mgr" был выключен.
ETECS. Secret Net LSP. Политика "access_control" плагина "control" была выключена.
ETECS. Secret Net LSP. Изменения правила контроля устройств.
ETECS. Secret Net LSP. Обнаружено новое устройство.
ETECS. Secret Net LSP. Политика плагина "cups" была выключена.
ETECS. Secret Net LSP. Параметр "state" плагина "aide" был выключен.
ETECS. Secret Net LSP. Параметр "state" плагина "devices" был выключен.
ETECS. Secret Net LSP. Один из параметров политики плагина для "users" был изменен.
ETECS. Secret Net LSP. Параметр "verbose" политики плагина "devices" был изменен.

Пакет экспертиз MikroTik OS (27.03.2024)

Фильтры:

ETECS. MikroTik. Изменение настроек proxy
ETECS. MikroTik. Изменение или добавление нового DNS static
ETECS. MikroTik. Добавлен Radius-клиент
ETECS. MikroTik. Обнаружен неизвестный DHCP-сервер
ETECS. MikroTik. Работа со скриптами
ETECS. MikroTik. Изменение NAT-правил
ETECS. MikroTik. Не удалось получить допустимое предложение IPSec
ETECS. MikroTik. Узел удален
ETECS. MikroTik. Установка TCP соединения
ETECS. MikroTik. Запуск консоли в графическом интерфейсе
ETECS. MikroTik. Изменение правил логирования
ETECS. MikroTik. Перезагрузка роутера
ETECS. MikroTik. Неудачная попытка входа
ETECS. MikroTik. Изменение правил МЭ
ETECS. MikroTik. Изменение или добавление интерфейса
ETECS. MikroTik. Добавление новой учетной записи

Директивы:

ETECS. MikroTik. Изменение настроек proxy
ETECS. MikroTik. Изменение или добавление нового DNS static
ETECS. MikroTik. Добавлен Radius-клиент
ETECS. MikroTik. Обнаружен неизвестный DHCP-сервер
ETECS. MikroTik. Работа со скриптами
ETECS. MikroTik. Изменение NAT-правил
ETECS. MikroTik. Не удалось получить допустимое предложение IPSec
ETECS. MikroTik. Узел удален
ETECS. MikroTik. Изменение правил логирования
ETECS. MikroTik. Перезагрузка роутера
ETECS. MikroTik. Множественная неудачная попытка входа
ETECS. MikroTik. Изменение правил МЭ
ETECS. MikroTik. Изменение или добавление интерфейса
ETECS. MikroTik. Добавление новой учетной записи

Пакет экспертиз S-Terra IDS (22.03.2024)

Фильтры:

ETECS. S-Terra IDS. Обнаружено внешнее SSH-подключение
ETECS. S-Terra IDS. Обнаружены ошибки в пакетах TCP
ETECS. S-Terra IDS. Сработало правило
ETECS. S-Terra IDS. Сработало правило на обнаружение TCP-соединений
ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносного ПО
ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносных редиректов
ETECS. S-Terra IDS. Сработало правило на обнаружение подозрительных имён файлов
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий администратора
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий пользователя
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток разведки
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток эксплуатации
ETECS. S-Terra IDS. Сработало правило на обнаружение потенциально плохого трафика
ETECS. S-Terra IDS. Сработало правило на обнаружение туннелирования трафика
ETECS. S-Terra IDS. Сработало правило на обнаружение утечки большого количества информации
ETECS. S-Terra IDS. Сработало правило на обнаружение шелл-кода в трафике
ETECS. S-Terra IDS. Сработало правило на попытки DoS-атаки
ETECS. S-Terra IDS. Сработало правило на потенциальное нарушение конфиденциальности информации
ETECS. S-Terra IDS. Сработало правило обнаружения атак на веб-приложения
ETECS. S-Terra IDS. Статистика соединений

Директивы:

ETECS. S-Terra IDS. Обнаружено внешнее SSH-подключение
ETECS. S-Terra IDS. Обнаружены ошибки в пакетах TCP
ETECS. S-Terra IDS. Сработало правило
ETECS. S-Terra IDS. Сработало правило на обнаружение TCP-соединений
ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносного ПО
ETECS. S-Terra IDS. Сработало правило на обнаружение вредоносных редиректов
ETECS. S-Terra IDS. Сработало правило на обнаружение подозрительных имён файлов
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток получения привилегий пользователя
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток разведки
ETECS. S-Terra IDS. Сработало правило на обнаружение попыток эксплуатации
ETECS. S-Terra IDS. Сработало правило на обнаружение потенциально плохого трафика
ETECS. S-Terra IDS. Сработало правило на обнаружение туннелирования трафика
ETECS. S-Terra IDS. Сработало правило на обнаружение успешного получения привилегий администратора
ETECS. S-Terra IDS. Сработало правило на обнаружение утечки большого количества информации
ETECS. S-Terra IDS. Сработало правило на обнаружение шелл-кода в трафике
ETECS. S-Terra IDS. Сработало правило на попытки DoS-атаки
ETECS. S-Terra IDS. Сработало правило на потенциальное нарушение конфиденциальности информации
ETECS. S-Terra IDS. Сработало правило обнаружения атак на веб-приложения

Пакет экспертиз Continent TLS server (05.03.2024)

Фильтры:

ETECS. Continent TLS. Включение SSH на сервере
ETECS. Continent TLS. Добавление нового списка TSL
ETECS. Continent TLS. Ошибка аутентификации
ETECS. Continent TLS. Неудачная попытка авторизации с неверным сертификатом
ETECS. Continent TLS. Изменение настроек TLS-туннеля
ETECS. Continent TLS. Блокировка сервера
ETECS. Continent TLS. Удаление сертификата УЦ
ETECS. Continent TLS. Изменение настроек сети
ETECS. Continent TLS. Отключение защиты от брутфорса
ETECS. Continent TLS. Изменение настроек логирования

Директивы:

ETECS. Continent TLS. Включение SSH на сервере
ETECS. Continent TLS. Добавление нового списка TSL
ETECS. Continent TLS. Множественная ошибка аутентификации
ETECS. Continent TLS. Неудачная попытка авторизации с неверным сертификатом
ETECS. Continent TLS. Изменение настроек TLS-туннеля
ETECS. Continent TLS. Блокировка сервера
ETECS. Continent TLS. Удаление сертификата УЦ
ETECS. Continent TLS. Изменение настроек сети
ETECS. Continent TLS. Отключение защиты от брутфорса
ETECS. Continent TLS. Изменение настроек логирования

Плагин:

Continent TLS server

Бесплатный пакет экспертиз (29.02.2024)

Фильтры:

ETECS.Cyberprotect Backup and Recovery
ETECS.Dr.Web 13 Esuite Server.Вход в графический интерфейс
ETECS.Dr.Web 13 Esuite Server.Выход из графического интерфейса
ETECS.Dr.Web 13 Esuite Server.Обнаружение вредоносного файла
ETECS.File.Все события
ETECS.HTTP.Все события
ETECS.Internal.Все события
ETECS.Internal.Неуспешная попытка входа в КОМРАД
ETECS.KSC.Сбой обновления
ETECS.KSC.Срабатывание защиты
ETECS.KSC.Срабатывание самозащиты
ETECS.KSC.Сторонний источник баз САВЗ
ETECS.KSC.Устарели базы данных САВЗ
ETECS.Linux.SSH подключение
ETECS.Linux.Неправильный ввод пароля
ETECS.Linux.Очистка правил в iptables
ETECS.Linux.Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS.Linux.Пароль для root был изменён
ETECS.Linux.Пользователь добавлен в группу
ETECS.Linux.Пользователь удалён из группы
ETECS.Linux.Создание нового пользователя
ETECS.Linux.Удаление пользователя
ETECS.SNMP.Все события
ETECS.SQL.Все события
ETECS.Syslog.Все события
ETECS.VipNet EPP.Системная активность
ETECS.VipNet HW.Изменился IP-aдрес сетевого узла
ETECS.Windows.Активность Windows PowerShell
ETECS.Windows.Антивирусная защита была отключена
ETECS.Windows.Все события
ETECS.Windows.Запуск нового процесса
ETECS.Windows.Изменение конфигурации межсетевого экрана
ETECS.Windows.Использование истории SID
ETECS.Windows.Неуспешная попытка входа в систему
ETECS.Windows.Обнаружение всех операций с учётными записями пользователей
ETECS.Windows.Обнаружение передачи пользователю прав локального администратора
ETECS.Windows.Очистка журналов
ETECS.Windows.Подключение и отключение сети
ETECS.Windows.Политика аудита системы была изменена.
ETECS.Windows.Создание нового пользователя
ETECS.Windows.Удаление пользователя
ETECS.xFlow.Все события
ETECS.Обнаружение важных антивирусных событий
ETECS.Рубикон.Вход пользователя в веб-интерфейс
ETECS.Рубикон.Вход пользователя в терминале
ETECS.Рубикон.Запуск/остановка СОВ обнаружения сканирования
ETECS.Рубикон.Критически мало места на жёстком диске
ETECS.Рубикон.Ошибка входа пользователя в терминале
ETECS.Рубикон.Ошибка контрольные суммы
ETECS.Рубикон.СОВ не запущена
ETECS.Рубикон.СОВ.Срабатывание СОВ
ETECS.Рубикон.Срабатывание МЭ
ETECS.Сканер-ВС 6.Выход пользователя из графического интерфейса
ETECS.Сканер-ВС 6.Добавлен новый актив
ETECS.Сканер-ВС 6.Инвентаризация актива успешно завершена
ETECS.Сканер-ВС 6.Найдены критические уязвимости
ETECS.Сканер-ВС 6.Найдены уязвимости
ETECS.Сканер-ВС 6.Найдены уязвимости с высокой критичностью
ETECS.Сканер-ВС 6.Найдены уязвимости с низкой критичностью
ETECS.Сканер-ВС 6.Найдены уязвимости со средней критичностью
ETECS.Сканер-ВС 6.Не удалось изменить пароль пользователю
ETECS.Сканер-ВС 6.Не удалось создать нового пользователя
ETECS.Сканер-ВС 6.Ошибка авторизации в графический интерфейс
ETECS.Сканер-ВС 6.Ошибка инвентаризации актива
ETECS.Сканер-ВС 6.Пароль пользователя успешно изменён
ETECS.Сканер-ВС 6.Создан новый пользователь
ETECS.Сканер-ВС 6.Удалён актив
ETECS.Сканер-ВС 6.Успешный вход пользователя

Директивы корреляции:

ETECS.Cyberprotect Backup and Recovery
ETECS.Dr.Web 13 Esuite Server.Вход в графический интерфейс
ETECS.Dr.Web 13 Esuite Server.Выход из графического интерфейса
ETECS.Dr.Web 13 Esuite Server.Обнаружение вредоносного файла
ETECS.Internal.Неуспешная попытка входа в КОМРАД
ETECS.KSC.Сбой обновления
ETECS.KSC.Срабатывание защиты
ETECS.KSC.Срабатывание самозащиты
ETECS.KSC.Сторонний источник баз САВЗ
ETECS.KSC.Устарели базы данных САВЗ
ETECS.Linux.SSH подключение
ETECS.Linux.Неправильный ввод пароля
ETECS.Linux.Очистка правил в iptables
ETECS.Linux.Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS.Linux.Пароль для root был изменён
ETECS.Linux.Пользователь добавлен в группу
ETECS.Linux.Пользователь удалён из группы
ETECS.Linux.Создание нового пользователя
ETECS.Linux.Удаление пользователя
ETECS.VipNet EPP.Системная активность
ETECS.VipNet HW.Изменился IP-aдрес сетевого узла
ETECS.Windows.Активность Windows PowerShell
ETECS.Windows.Антивирусная защита была отключена
ETECS.Windows.Изменение конфигурации межсетевого экрана
ETECS.Windows.Использование истории SID
ETECS.Windows.Неуспешная попытка входа в систему
ETECS.Windows.Обнаружение всех операций с учётными записями пользователей
ETECS.Windows.Обнаружение передачи пользователю прав локального администратора
ETECS.Windows.Очистка журналов
ETECS.Windows.Политика аудита системы была изменена
ETECS.Windows.Создание нового пользователя
ETECS.Windows.Удаление пользователя
ETECS.Обнаружение важных антивирусных событий
ETECS.Рубикон.Запуск/остановка СОВ обнаружения сканирования
ETECS.Рубикон.Критически мало места на жёстком диске
ETECS.Рубикон.Ошибка входа пользователя в терминале
ETECS.Рубикон.Ошибка контрольные суммы
ETECS.Рубикон.СОВ не запущена
ETECS.Рубикон.СОВ.Сработало правило
ETECS.Рубикон.Срабатывание МЭ
ETECS.Сканер-ВС 6.Выход пользователя из графического интерфейса
ETECS.Сканер-ВС 6.Добавлен новый актив
ETECS.Сканер-ВС 6.Инвентаризация актива успешно завершена
ETECS.Сканер-ВС 6.На активах найдены критические уязвимости
ETECS.Сканер-ВС 6.Не удалось изменить пароль пользователю
ETECS.Сканер-ВС 6.Не удалось создать нового пользователя
ETECS.Сканер-ВС 6.Ошибка авторизации в графический интерфейс
ETECS.Сканер-ВС 6.Ошибка инвентаризации актива
ETECS.Сканер-ВС 6.Пароль пользователя успешно изменён
ETECS.Сканер-ВС 6.Создан новый пользователь
ETECS.Сканер-ВС 6.Удалён актив
ETECS.Сканер-ВС 6.Успешный вход пользователя

Плагины:

Рубикон
Сканер-ВС 6

Пользовательские поля нормализации:

Description
Event.Action
Event.Module
Event.Outcome
Message
Operation
Scanner.Packages.Count
Status
Subject
Vulnerability.Severity

Пакет экспертиз Microsoft-Windows-Sysmon Event (16.02.2024)

Фильтры:

ETECS. Microsoft-Windows-Sysmon Event id 1
ETECS. Microsoft-Windows-Sysmon Event id 2
ETECS. Microsoft-Windows-Sysmon Event id 3
ETECS. Microsoft-Windows-Sysmon Event id 4
ETECS. Microsoft-Windows-Sysmon Event id 5
ETECS. Microsoft-Windows-Sysmon Event id 6
ETECS. Microsoft-Windows-Sysmon Event id 7
ETECS. Microsoft-Windows-Sysmon Event id 8
ETECS. Microsoft-Windows-Sysmon Event id 9
ETECS. Microsoft-Windows-Sysmon Event id 10
ETECS. Microsoft-Windows-Sysmon Event id 11
ETECS. Microsoft-Windows-Sysmon Event id 12
ETECS. Microsoft-Windows-Sysmon Event id 13
ETECS. Microsoft-Windows-Sysmon Event id 14
ETECS. Microsoft-Windows-Sysmon Event id 15
ETECS. Microsoft-Windows-Sysmon Event id 16
ETECS. Microsoft-Windows-Sysmon Event id 17
ETECS. Microsoft-Windows-Sysmon Event id 18
ETECS. Microsoft-Windows-Sysmon Event id 19
ETECS. Microsoft-Windows-Sysmon Event id 20
ETECS. Microsoft-Windows-Sysmon Event id 21
ETECS. Microsoft-Windows-Sysmon Event id 22
ETECS. Microsoft-Windows-Sysmon Event id 23
ETECS. Microsoft-Windows-Sysmon Event id 24
ETECS. Microsoft-Windows-Sysmon Event id 25
ETECS. Microsoft-Windows-Sysmon Event id 26
ETECS. Microsoft-Windows-Sysmon Event id 27
ETECS. Microsoft-Windows-Sysmon Event id 28
ETECS. Microsoft-Windows-Sysmon Event id 255

Директивы:

ETECS. Microsoft-Windows-Sysmon Event id 8
ETECS. Microsoft-Windows-Sysmon Event id 16
ETECS. Microsoft-Windows-Sysmon Event id 27
ETECS. Microsoft-Windows-Sysmon Event id 255
ETECS. Microsoft-Windows-Sysmon Event id 4
ETECS. Microsoft-Windows-Sysmon Event id 6

Пакет экспертиз Dallas Lock 8.0-K (24.10.2023)

Фильтры:

ETECS. DallasLock. Отключение МЭ
ETECS. DallasLock. Включение МЭ
ETECS. DallasLock. Неправильный ввод пароля на клиенте
ETECS. DallasLock. Включение СОВ
ETECS. DallasLock. Все события журнала пакетов МЭ
ETECS. DallasLock. Отключение СОВ
ETECS. DallasLock. Вход в ОС
ETECS. DallasLock. Деактивация правила МЭ
ETECS. DallasLock. Редактирование общего правила МЭ
ETECS. DallasLock. Изменение политики аудита
ETECS. DallasLock. Активирован антивирус
ETECS. DallasLock. Срабатывание запрещающего правила МЭ
ETECS. DallasLock. Все события журнала трафика
ETECS. DallasLock. Запись параметров аудита
ETECS. DallasLock. Сканирование портов Клиента
ETECS. DallasLock. Добавление нового пользователя
ETECS. DallasLock. Изменение списка групп пользователя
ETECS. DallasLock. Создание группы учетных записей
ETECS. DallasLock. Удаление группы учетных записей
ETECS. DallasLock. Удаление пользователя
ETECS. DallasLock. Изменение пароля пользователя
ETECS. DallasLock. Редактирование сессии-исключения
ETECS. DallasLock. Удаление сессии-исключения
ETECS. DallasLock. Создание новой сессии-исключения
ETECS. DallasLock. Все события журнала управления учетными записями
ETECS. DallasLock. Все события журнала входов
ETECS. DallasLock. Запись параметров дискреционного доступа
ETECS. DallasLock. Все события журнала ресурсов
ETECS. DallasLock. Все события журнала процессов
ETECS. DallasLock. Все события журнала резервного копирования
ETECS. DallasLock. Все события журнала соединений МЭ
ETECS. DallasLock. Отправка документа на печать
ETECS. DallasLock. Изменение политик контроля целостности
ETECS. DallasLock. Удаление параметра у ветки реестра
ETECS. DallasLock. Создание ветки реестра
ETECS. DallasLock. Удаление ветки реестра
ETECS. DallasLock. Изменение ветки реестра
ETECS. DallasLock. Запрос ветки реестра
ETECS. DallasLock. Редактирование настроек безопасной среды СОВ
ETECS. DallasLock. Изменение сигнатур журналов СОВ
ETECS. DallasLock. Обновление СОВ
ETECS. DallasLock. Нарушена целостность реестра
ETECS. DallasLock. Доступ запрещен (журнал трафика МЭ)
ETECS. DallasLock. Открытие ветки реестра
ETECS. DallasLock. Актуальны сетевые сигнатуры и блок лист

Директивы:

ETECS. DallasLock. Вход в ОС
ETECS. DallasLock. Включение СОВ
ETECS. DallasLock. Деактивация правила МЭ
ETECS. DallasLock. Срабатывание запрещающего правила МЭ
ETECS. DallasLock. Неправильный ввод пароля на клиенте
ETECS. DallasLock. Включение МЭ
ETECS. DallasLock. Редактирование общего правила МЭ
ETECS. DallasLock. Изменение политики аудита
ETECS. DallasLock. Сканирование портов Клиента
ETECS. DallasLock. Добавление нового пользователя
ETECS. DallasLock. Изменение списка групп пользователя
ETECS. DallasLock. Создание группы учетных записей
ETECS. DallasLock. Отключение МЭ
ETECS. DallasLock. Отключение СОВ
ETECS. DallasLock. Удаление группы учетных записей
ETECS. DallasLock. Удаление пользователя
ETECS. DallasLock. Изменение пароля пользователя
ETECS. DallasLock. Редактирование сессии-исключения
ETECS. DallasLock. Удаление сессии-исключения
ETECS. DallasLock. Создание новой сессии-исключения
ETECS. DallasLock. Запись параметров дискреционного доступа
ETECS. DallasLock. Отправка документа на печать
ETECS. DallasLock. Изменение политик контроля целостности
ETECS. DallasLock. Удаление параметра у ветки реестра
ETECS. DallasLock. Удаление ветки реестра
ETECS. DallasLock. Редактирование настроек безопасной среды СОВ
ETECS. DallasLock. Изменение сигнатур журналов СОВ
ETECS. DallasLock. Нарушена целостность реестра
ETECS. DallasLock. Доступ запрещен (журнал трафика МЭ)
ETECS. DallasLock. Запись параметров аудита

Пакет экспертиз Linux Auditd (11.10.2023)

Фильтры:

ETECS. Linux Auditd. Все события auditd
ETECS. Linux Auditd. Отключение межсетевого экрана
ETECS. Linux Auditd. Изменение настроек межсетевого экрана
ETECS. Linux Auditd. Proctitle (служебный)
ETECS. Linux Auditd. Использование скрипта для внесения изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Изменение конфигурации аудита системы
ETECS. Linux Auditd. Nano vim
ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Proctitle 2
ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
ETECS. Linux Auditd. Создание учетной записи пользователя
ETECS. Linux Auditd. Перехват сетевого трафика
ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
ETECS. Linux Auditd. Завершение работы системы/перезагрузка
ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
ETECS. Linux Auditd. Изменение атрибута времени файла
ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
ETECS. Linux Auditd. Успешное SSH-подключение
ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
ETECS. Linux Auditd. Остановка службы Systemd
ETECS. Linux Auditd. Служба успешно остановлена
ETECS. Linux Auditd. Служба успешно запущена
ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
ETECS. Linux Auditd. Очистка логов Linux
ETECS. Linux Auditd. Удаление файла
ETECS. Linux Auditd. Редактирование репозиториев Linux
ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux
ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя

Директивы:

ETECS. Linux Auditd. Внесение изменений в конфигурационные файлы ufw
ETECS. Linux Auditd. Обнаружение владельца системы или пользователя
ETECS. Linux Auditd. Использование скрипта для внесения изменения в конфигурационные файлы ufw
ETECS. Linux Auditd. Остановка службы Systemd
ETECS. Linux Auditd. Изменение атрибута времени файла
ETECS. Linux Auditd. Изменение конфигурации аудита системы
ETECS. Linux Auditd. Изменение настроек межсетевого экрана
ETECS. Linux Auditd. Перехват сетевого трафика
ETECS. Linux Auditd. Создание учетной записи пользователя
ETECS. Linux Auditd. Перезапись файла с помощью Dev Zero или Dev Null
ETECS. Linux Auditd. Удалён неизменяемый атрибут файла
ETECS. Linux Auditd. Перезагрузка или запуск службы Systemd
ETECS. Linux Auditd. Завершение работы системы/перезагрузка
ETECS. Linux Auditd. Изменение прав доступа к файлам или папкам
ETECS. Linux Auditd. Изменение конфигурации оболочки Unix
ETECS. Linux Auditd. Неправильный ввод пароля от учётной записи пользователя
ETECS. Linux Auditd. Ошибка аутентификации при попытке входа от учётной записи администратора
ETECS. Linux Auditd. Отключение межсетевого экрана
ETECS. Linux Auditd. Обнаружение попыток извлечения паролей с помощью grep
ETECS. Linux Auditd. Успешное SSH-подключение
ETECS. Linux Auditd. Попытка обнаружения файлов с возможностью setuid/setgid
ETECS. Linux Auditd. Возможное использование параметра приоритета процессора для майнера
ETECS. Linux Auditd. Очистка логов Linux
ETECS. Linux Auditd. Удаление файла
ETECS. Linux Auditd. Редактирование репозиториев Linux
ETECS. Linux Auditd. Неправильный ввод пароля через графический интерфейс Linux

Пакет экспертиз Dr.Web Enterprise Security Suite 13 (05.10.2023)

Фильтры:

ETECS. Dr.Web. Server обнаружил эпидемию в сети
ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён автоматически
ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён вручную администратором
ETECS. Dr.Web. Зафиксировано большое количество разрывов соединений с клиентами
ETECS. Dr.Web. Количество зарегистрированных станций приближается к лицензионному ограничению
ETECS. Dr.Web. Лицензионный ключ был заблокирован на ВСО Dr.Web
ETECS. Dr.Web. На станции заканчивается свободное дисковое пространство
ETECS. Dr.Web. Не удалось выполнить авторизацию администратора
ETECS. Dr.Web. Не удалось выполнить авторизацию станции
ETECS. Dr.Web. Невозможно зарегистрировать новую станцию
ETECS. Dr.Web. Необходима перезагрузка станции
ETECS. Dr.Web. Новая станция ожидает подтверждения
ETECS. Dr.Web. Обнаружена угроза безопасности
ETECS. Dr.Web. Обнаружены множественные блокировки Контролем приложений
ETECS. Dr.Web. Обновление лицензионного ключа прошло успешно
ETECS. Dr.Web. Окончание срока действия лицензионного ключа
ETECS. Dr.Web. Ошибка запроса данных о продлении лицензионных ключей
ETECS. Dr.Web. Ошибка обновления продукта
ETECS. Dr.Web. Ошибка обновления репозитория
ETECS. Dr.Web. Ошибка сканирования на станции
ETECS. Dr.Web. Попытка авторизации за неизвестного администратора
ETECS. Dr.Web. Продукт в репозитории обновлен
ETECS. Dr.Web. Продукт имеет актуальную версию
ETECS. Dr.Web. Сканирование на станции завершено
ETECS. Dr.Web. Создан суммарный отчёт Превентивной защиты
ETECS. Dr.Web. Сработала блокировка Контролем приложений
ETECS. Dr.Web. Сработала превентивная защита
ETECS. Dr.Web. Станция давно не подключалась к Серверу
ETECS. Dr.Web. Станция не зарегистрирована в базе данных
ETECS. Dr.Web. Станция подтверждена администратором
ETECS. Dr.Web. Станция уже зарегистрирована
ETECS. Dr.Web. Требуется перезагрузка станции для применения обновлений
SQL. Сбор оповещений антивирусной сети

Директивы:

ETECS. Dr.Web. Server обнаружил эпидемию в сети
ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён автоматически
ETECS. Dr.Web. Доступ к Серверу Dr.Web для новой станции запрещён вручную администратором
ETECS. Dr.Web. Зафиксировано большое количество разрывов соединений с клиентами
ETECS. Dr.Web. Количество зарегистрированных станций приближается к лицензионному ограничению
ETECS. Dr.Web. Лицензионный ключ был заблокирован на ВСО Dr.Web
ETECS. Dr.Web. На станции заканчивается свободное дисковое пространство
ETECS. Dr.Web. Не удалось выполнить авторизацию администратора
ETECS. Dr.Web. Не удалось выполнить авторизацию станции
ETECS. Dr.Web. Невозможно зарегистрировать новую станцию
ETECS. Dr.Web. Новая станция ожидает подтверждения
ETECS. Dr.Web. Обнаружена угроза безопасности
ETECS. Dr.Web. Обнаружены множественные блокировки Контролем приложений
ETECS. Dr.Web. Обновление лицензионного ключа прошло успешно
ETECS. Dr.Web. Окончание срока действия лицензионного ключа
ETECS. Dr.Web. Ошибка запроса данных о продлении лицензионных ключей
ETECS. Dr.Web. Ошибка обновления продукта
ETECS. Dr.Web. Ошибка обновления репозитория
ETECS. Dr.Web. Ошибка сканирования на станции
ETECS. Dr.Web. Попытка авторизации за неизвестного администратора
ETECS. Dr.Web. Продукт в репозитории обновлен
ETECS. Dr.Web. Сканирование на станции завершено
ETECS. Dr.Web. Создан суммарный отчёт Превентивной защиты
ETECS. Dr.Web. Сработала блокировка Контролем приложений
ETECS. Dr.Web. Сработала превентивная защита
ETECS. Dr.Web. Станция давно не подключалась к Серверу
ETECS. Dr.Web. Станция не зарегистрирована в базе данных
ETECS. Dr.Web. Станция подтверждена администратором
ETECS. Dr.Web. Станция уже зарегистрирована
ETECS. Dr.Web. Требуется перезагрузка станции

Пользовательские поля нормализации:

AlertName
Body
Subject

Плагин:

Dr.Web

Пакет экспертиз ГОСТ 57580.1 -2017 (02.10.2023)

Экспертиза по ГОСТ 57580.1 -2017. Это первая часть экспертизы по данному ГОСТу, в будущем планируется продолжить её разработку.

Покрываемый мониторинг из ГОСТ 57580.1–2017:

Пункт 7.2.1.2

Мониторинг доступа пользователей в учетные записи (аудит входа/выхода)
Мониторинг создания новых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)
Мониторинг удаления старых учетных записей (аудит управления учетными записями пользователей, аудит учетных записей компьютеров)

Пункт 7.2.1.3

Мониторинг блокирование учетных записей (аудит управления учетными записями пользователей, аудит управления учетных записей компьютеров)
Мониторинг изменения прав по предоставлению логического доступа (аудит управления группами безопасности)

Фильтры:

2000 – неправильный ввод пароля учётной записи ОС Windows (локальный WMI-агент)
2001 – аудит входа в учетную запись Win10
2002 – неправильный ввод пароля учётной записи ОС Windows
2003 – аудит выхода WinServer 2012r2
2004 – аудит выхода Windows 10 (Локальный WMI-агент)
2005 – создание новой учётной записи компьютера в домене
2006 – изменение учётной записи компьютера входящего в домен
2007 - удаление учётной записи компьютера входящего в домен
2008 – создание учётной записи пользователя домена
2009 – включение учётной записи пользователя домена
2010 – неудачная попытка изменения пароля учётной записи пользователя домена. Пароль не соответствует политике паролей
2011 - неудачная попытка изменения пароля учётной записи пользователя домена. Введен неверный старый пароль
2012 - удачная попытка изменения пароля учётной записи пользователя домена
2013 - удачная попытка сброса пароля учётной записи пользователя домена
2014 - неудачная попытка сброса пароля учётной записи пользователя домена
2015 - отключение учётной записи пользователя домена
2016 - удаление учётной записи пользователя домена
2017 - изменение учётной записи пользователя домена
2018 - блокировка учётной записи пользователя домена
2019 - разблокирована учётная запись пользователя домена
2020 - создание локальной группы безопасности
2021 - добавление пользователя в локальную группу безопасности
2022 - удаление пользователя из локальной группы безопасности
2023 - удаление локальной группы безопасности
2024 - изменение локальной группы безопасности
2025 - изменение типа группы безопасности
2026 - создание глобальной группы безопасности
2027 - изменение глобальной группы безопасности
2028 - добавление пользователя в глобальную группу безопасности
2029 - удаление пользователя из глобальной группы безопасности
3030 - удаление глобальной группы безопасности
2031 - создание универсальной группы безопасности
2032 - изменение универсальной группы безопасности
2033 - добавление пользователя в универсальную группу безопасности
2034 - удаление пользователя из универсальной группы безопасности
2035 - удаление универсальной группы безопасности

Директивы корреляции:

Вход в учетную запись Win10 - позволяет отслеживать вход в учетную запись пользователя домена на компьютере с ОС Windows 10 (Блокировка, Выход из системы, Сменить пользователя)
Вход в учётную запись WinServer 2012r2 - позволяет отслеживать вход в учётную запись контроллера домена на компьютере с WinServer 2012r2
Выход из учётной записи Windows - позволяет отслеживать выход из учётной записи (работает только на "Выход" из учётной записи через "Пуск"). Директива не сработает в случае выключения ОС
Попытка подбора пароля Windows - позволяет отследить неправильный ввод пароля на Контроллере домена и Клиенте Домена от 3 и более раз. Регистрация событий происходит на локальных WMI-агентах
Попытка подбора пароля учётной записи Windows (отслеживается с Контроллера домена) - позволяет отследить неправильный ввод пароля на Клиенте домена от 3-х раз. Регистрация событий происходит на Контроллере домена
Создание новой учётной записи компьютера в домене - позволяет отслеживать создание новой учётной записи компьютера в домен, в том числе при вводе нового компьютера в домен
Изменение учётной записи компьютера в домене - позволяет отслеживать изменение учётной записи компьютера в домене
Удаление учётной записи компьютера в домене - позволяет отслеживать удаление учётной записи компьютера в домене
Создание новой учётной записи пользователя домена - позволяет отслеживать создание новой учётной записи пользователя домена на Контроллере домена
Включение учётной записи пользователя домена - позволяет отслеживать включение учётной записи пользователя домена на Контроллере домена
Изменение пароля учётной записи пользователя домена - позволяет отследить удачное изменение пароля Пользователем домена на клиенте
Попытка сброса пароля учётной записи пользователя домена - позволяет отследить неудачную попытку сброса пароля (смены пароля) учётной записи пользователя домена
Сброс пароля учётной записи пользователя домена - позволяет отследить удачную попытку сброса пароля учётной записи пользователя домена на Контроллере домена
Отключение учётной записи пользователя домена - позволяет отследить успешную попытку отключение учётной записи пользователя домена на Контроллере домена
Удаление учётной записи пользователя домена - позволяет отследить успешное удаление учётной записи пользователя домена на Контроллере домена
Изменение учётной записи пользователя домена - позволяет отследить изменения учётной записи пользователя домена. Все изменения перечислены в пункте «Примечание»
Блокировка учётной записи пользователя домена - позволяет отследить блокировку учётной записи пользователя домена на Контроллере домена
Разблокирование учётной записи - позволяет отследить разблокирование учётной записи пользователя домена на Контроллере домена
Создание локальной группы безопасности - позволяет отследить создание локальной группы безопасности на Контроллере домена
Добавление пользователя в локальную группу безопасности - позволяет отслеживать добавление пользователя в локальную группу безопасности домена на Контроллере домена
Удаление пользователя из локальной группы безопасности - позволяет отслеживать удаление пользователя из локальной группы безопасности домена на Контроллере домена
Удаление локальной группы политики безопасности - позволяет отследить удаление локальной группы политики безопасности домена на Контроллере домена
Изменение локальной группы безопасности - позволяет отследить изменение локальной группы безопасности домена на Контроллере домена
Изменение типа группы безопасности - позволяет отследить изменение типа группы безопасности домена на Контроллере домена
Создание глобальной группы безопасности - позволяет отследить создание глобальной группы безопасности домена на Контроллере домена
Изменение глобальной группы безопасности - позволяет отследить изменение глобальной группы безопасности домена на Контроллере домена. Срабатывает при добавлении и удалении пользователя в глобальную группу безопасности
Добавление пользователя в глобальную группу безопасности - позволяет отследить добавление пользователя в глобальную группу безопасности на Контроллере домена
Удаление пользователя из глобальной группы безопасности - позволяет отследить удаление пользователя из глобальной группы безопасности на Контроллере домена
Удаление глобальной группы безопасности - позволяет отследить удаление глобальной группы безопасности на Контроллере домена
Создание универсальной группы безопасности - позволяет отследить создание универсальной группы безопасности на Контроллере домена
Изменение универсальной группы безопасности - позволяет отследить изменение универсальной группы безопасности на Контроллере домена
Добавление пользователя в универсальную группу безопасности - позволяет отследить добавление пользователя в универсальную группу безопасности на Контроллере домена
Удаление пользователя из универсальной группы безопасности - позволяет отследить удаление пользователя из универсальной группы безопасности на Контроллере домена
Удаление универсальной группы безопасности - позволяет отследить удаление универсальной группы безопасности на Контроллере домена

Пакет экспертиз СКДПУ НТ (25.09.2023)

Фильтры:

ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса сессии
ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
ETECS. IT-Bastion. Skdpu-nt. Передача файлов
ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчета

Директивы:

ETECS. IT-Bastion. Skdpu-nt. Блокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Выход из учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение инцидента
ETECS. IT-Bastion. Skdpu-nt. Изменение конфигурации LDAP-сервера
ETECS. IT-Bastion. Skdpu-nt. Изменение настроек детекторов аномалий
ETECS. IT-Bastion. Skdpu-nt. Изменение ограничений учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение парольной политики
ETECS. IT-Bastion. Skdpu-nt. Изменение пароля или почтового адреса аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение роли аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Изменение системных и основных настроек
ETECS. IT-Bastion. Skdpu-nt. Неуспешная авторизация
ETECS. IT-Bastion. Skdpu-nt. Новый инцидент
ETECS. IT-Bastion. Skdpu-nt. Обзор сессии
ETECS. IT-Bastion. Skdpu-nt. Отключение сеанса
ETECS. IT-Bastion. Skdpu-nt. Ошибка аутентификации подключения по RDP
ETECS. IT-Bastion. Skdpu-nt. Передача файлов
ETECS. IT-Bastion. Skdpu-nt. Перезапуск сервиса
ETECS. IT-Bastion. Skdpu-nt. Попытка авторизации по несуществующей учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа по неправильному паролю
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия учётной записи
ETECS. IT-Bastion. Skdpu-nt. Попытка входа при истечении срока действия пароля
ETECS. IT-Bastion. Skdpu-nt. Разблокировка в карточке пользователя
ETECS. IT-Bastion. Skdpu-nt. Сессия подключения установлена успешно
ETECS. IT-Bastion. Skdpu-nt. Создание аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание или удаление роли учётной записи
ETECS. IT-Bastion. Skdpu-nt. Создание инцидента вручную по RDP-подключению
ETECS. IT-Bastion. Skdpu-nt. Удаление аккаунта учётной записи
ETECS. IT-Bastion. Skdpu-nt. Успешная авторизация
ETECS. IT-Bastion. Блокировка карточки пользователя по превышению попыток входа
ETECS. IT-Bastion. Создание, изменение, рассылка, удаление отчёта

Пакет экспертиз UserGate (07.09.2023)

Фильтры:

ETECS.UserGate.Включение удаленного помощника
ETECS.UserGate.Выключение защиты от спуфинга в зоне сети
ETECS.UserGate.Выключение правила СОВ
ETECS.UserGate.Добавление новой статической DNS-записи
ETECS.UserGate.Добавление правила, открывающего FW
ETECS.UserGate.Добавление учетной записи администратора
ETECS.UserGate.Запущено правило создание отчета
ETECS.UserGate.Изменение лимита DNS-запросов от одного пользователя в секунду
ETECS.UserGate.Изменение шлюза по умолчанию
ETECS.UserGate.Использование устаревшего алгоритма криптографического хеширования SHA-1
ETECS.UserGate.Не удалось обновить элемент
ETECS.UserGate.Неправильный ввод пароля или логина для входа в административный интерфейс
ETECS.UserGate.Неправильный ввод пароля(CLI)
ETECS.UserGate.Обнаружена активность троянских вирусных программ
ETECS.UserGate.Обнаружена попытка использовать уязвимость
ETECS.UserGate.Обнаружено использование сканера уязвимости в сети
ETECS.UserGate.Обнаружено сканирование сети утилитой NMAP
ETECS.UserGate.Отключение BATV в настройках антиспама
ETECS.UserGate.Отключение журналирования диагностики устройства
ETECS.UserGate.Отключение правила защиты от Dos
ETECS.Usergate.Отключение работы сценария
ETECS.UserGate.Очистка журналов диагностики
ETECS.UserGate.Потеряна связь с LDAP-сервером
ETECS.UserGate.Разрешение потенциального Dos-трафика в правиле защиты от Dos
ETECS.UserGate.Срабатывание правила СОВ
ETECS.UserGate.Сработала блокировка доступа к ресурсу по правилу фильтрации контента
ETECS.UserGate.Сработала защита от IP-спуфинга
ETECS.UserGate.Сработало правило защиты от Dos
ETECS.UserGate.Удаление сертификата
ETECS.UserGate.Экспорт номеров телефонов
ETECS.UserGate.Экспорт почтовых адресов

Директивы:

ETECS.UserGate.Включение удаленного помощника
ETECS.UserGate.Выключение защиты от спуфинга в зоне сети
ETECS.UserGate.Выключение правила СОВ
ETECS.UserGate.Добавление новой статической DNS-записи
ETECS.UserGate.Добавление правила, открывающего FW
ETECS.UserGate.Добавление учетной записи администратора
ETECS.UserGate.Запущено правило создание отчета
ETECS.UserGate.Изменение лимита DNS-запросов от одного пользователя в секунду
ETECS.UserGate.Изменение шлюза по умолчанию
ETECS.UserGate.Использование устаревшего алгоритма криптографического хеширования SHA-1
ETECS.UserGate.Не удалось обновить элемент
ETECS.UserGate.Неправильный ввод пароля или логина для входа в административный интерфейс
ETECS.UserGate.Неправильный ввод пароля(CLI)
ETECS.UserGate.Обнаружена активность троянских вирусных программ
ETECS.UserGate.Обнаружена попытка использовать уязвимость
ETECS.UserGate.Обнаружено использование сканера уязвимости в сети
ETECS.UserGate.Обнаружено сканирование сети утилитой NMAP
ETECS.UserGate.Отключение BATV в настройках антиспама
ETECS.UserGate.Отключение журналирования диагностики устройства
ETECS.UserGate.Отключение правила защиты от Dos
ETECS.Usergate.Отключение работы сценария
ETECS.UserGate.Очистка журналов диагностики
ETECS.UserGate.Потенциальная Dos-атака
ETECS.UserGate.Потеряна связь с LDAP-сервером
ETECS.UserGate.Разрешение потенциального Dos-трафика в правиле защиты от Dos
ETECS.UserGate.Срабатывание правила СОВ
ETECS.UserGate.Сработала блокировка доступа к ресурсу по правилу фильтрации контента
ETECS.UserGate.Сработала защита от IP-спуфинга
ETECS.UserGate.Удаление сертификата
ETECS.UserGate.Экспорт номеров телефонов
ETECS.UserGate.Экспорт почтовых адресов

Пакет экспертиз САЗ RedCheck (16.08.2023)

Фильтры:

ETECS.RedCheck. Все события
ETECS.RedCheck. Задание "Инвентаризация" завершено
ETECS.RedCheck. Задание "Фиксация" завершено
ETECS.RedCheck. Найден уязвимый порт
ETECS.RedCheck. Найдены критические уязвимости
ETECS.RedCheck. Найдены уязвимости
ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
ETECS.RedCheck. Ошибка в работе службы синхронизации
ETECS.RedCheck. Ошибка в работе службы сканирования
ETECS.RedCheck. Проверка доступности хоста прошла успешно
ETECS.RedCheck. Сканирование завершилось с ошибкой
ETECS.RedCheck. Хост недоступен

Директивы:

ETECS.RedCheck. Задание "Инвентаризация" завершено
ETECS.RedCheck. Задание "Фиксация" завершено
ETECS.RedCheck. Найден уязвимый порт
ETECS.RedCheck. Найдены критические уязвимости
ETECS.RedCheck. Найдены уязвимости
ETECS.RedCheck. Найдены уязвимости высокого уровня критичности
ETECS.RedCheck. Ошибка в работе службы синхронизации
ETECS.RedCheck. Ошибка в работе службы сканирования
ETECS.RedCheck. Проверка доступности хоста прошла успешно
ETECS.RedCheck. Сканирование завершилось с ошибкой
ETECS.RedCheck. Хост недоступен

Пользовательские поля нормализации:

ECS.RedCheck.AccountName
ECS.RedCheck.CriticalSeverity
ECS.RedCheck.HighSeverity
ECS.RedCheck.InformationalSeverity
ECS.RedCheck.LowSeverity
ECS.RedCheck.MediumSeverity
ECS.RedCheck.OpenPort
ECS.RedCheck.ScanResult
ECS.RedCheck.ScanSettings
ECS.RedCheck.ScanType
ECS.RedCheck.TaskName
ECS.RedCheck.UnknownSeverity
ECS.RedCheck.VulnerabilityNumber

Пакет экспертиз Ideco UTM (15.08.2023)

Фильтры:

ETECS.Ideco UTM.Предотвращение вторжений. Авторизация с подозрительным логином
ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP протокола
ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS трафика для управления вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
ETECS.Ideco UTM.Предотвращение вторжений.Обновления Windows
ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
ETECS.Ideco UTM. Предотвращение вторжений .Подозрительное обращение к файлам
ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения системных файлов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. PT Open
ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты используемые вредоносным ПО и ботнетами
ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Директивы:

ETECS.Ideco UTM. Предотвращение вторжений. Авторизация с подозрительным логином
ETECS.Ideco UTM. Предотвращение вторжений. Анонимайзеры
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение прав пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на получение привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Атаки на web-приложения
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование активности троянских программ
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование атак
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование крупных утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование некорректных попыток получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование подозрительных RPС-запросов
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование попыток запуска исполняемого кода
ETECS.Ideco UTM. Предотвращение вторжений. Блокирование утечек информации
ETECS.Ideco UTM. Предотвращение вторжений. Запросы на скомпрометированные ресурсы
ETECS.Ideco UTM. Предотвращение вторжений. Защита SMTP-протокола
ETECS.Ideco UTM. Предотвращение вторжений. Использование DNS-трафика для управления вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Нежелательное программное обеспечение
ETECS.Ideco UTM. Предотвращение вторжений. Неизвестный тип трафика
ETECS.Ideco UTM. Предотвращение вторжений. Нецелевое использование стандартных портов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение нарушений стандартов сетевых протоколов
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительной сетевой активности
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение подозрительных команд
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение успешных краж учетных данных
ETECS.Ideco UTM. Предотвращение вторжений. Обнаружение DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Adobe
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Cisco
ETECS.Ideco UTM. Предотвращение вторжений. Обновления Windows
ETECS.Ideco UTM. Предотвращение вторжений. Определение внешнего IP-адреса
ETECS.Ideco UTM. Предотвращение вторжений. Ошибки в сетевых протоколах
ETECS.Ideco UTM. Предотвращение вторжений. Подключения к потенциально уязвимым web-приложениям
ETECS.Ideco UTM. Предотвращение вторжений. Подозрительное обращение к файлам
ETECS.Ideco UTM. Предотвращение вторжений. Попытки авторизации с логином и паролем по умолчанию
ETECS.Ideco UTM. Предотвращение вторжений. Попытки выполнить системный вызов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки использования социальной инженерии
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий администратора
ETECS.Ideco UTM. Предотвращение вторжений. Попытки получения привилегий пользователя
ETECS.Ideco UTM. Предотвращение вторжений .Попытки получения системных файлов
ETECS.Ideco UTM. Предотвращение вторжений. Попытки проведения DoS-атак
ETECS.Ideco UTM. Предотвращение вторжений. Попытки сканирования сети
ETECS.Ideco UTM. Предотвращение вторжений. Потенциально опасный трафик
ETECS.Ideco UTM. Предотвращение вторжений. Пулы криптомайнеров
ETECS.Ideco UTM. Предотвращение вторжений. Телеметрия Windows
ETECS.Ideco UTM. Предотвращение вторжений. Трафик устаревшего уязвимого ПО
ETECS.Ideco UTM. Предотвращение вторжений. Управление вредоносным ПО
ETECS.Ideco UTM. Предотвращение вторжений. Целевое использование вредоносного ПО
ETECS.Ideco UTM. Предотвращение вторжений. Чёрный список IP-адресов
ETECS.Ideco UTM. Предотвращение вторжений. Эксплойты
ETECS.Ideco UTM. Предотвращение вторжений. DNS поверх HTTPS
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP защита от удаленных подключений
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Восточной Европы
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Страны Юго-Восточной Азии
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Территории Африки и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. GeoIP Южная Америка и зависимые территории
ETECS.Ideco UTM. Предотвращение вторжений. PT Open
ETECS.Ideco UTM. Предотвращение вторжений. SSL-сертификаты, используемые вредоносным ПО и ботнетами
ETECS.Ideco UTM. Ошибка аутентификации при входе в веб-интерфейс
ETECS.Ideco UTM. Файрвол. Сработало правило блокировки трафика
ETECS.Ideco UTM. Контроль приложений. Сработало правило блокировки

Пакет экспертиз Microsoft Exchange Server 2010 (17.07.2023)

Фильтры:

ETECS.Microsoft Exchange Server 2010. Создание группы рассылки
ETECS.Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
ETECS.Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
ETECS.Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
ETECS.Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Удаление почтового ящика
ETECS.Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
ETECS.Microsoft Exchange Server 2010. Создание нового почтового контакта
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Set-OrganizationConfig
ETECS.Microsoft Exchange Server 2010. Отключение почтового ящика
ETECS.Microsoft Exchange Server 2010. Создание нового почтового ящика
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
ETECS.Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
ETECS.Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
ETECS.Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
ETECS.Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
ETECS.Microsoft Exchange Server 2010. Включение Outlook Anywhere
ETECS.Microsoft Exchange Server 2010. Выключение Outlook Anywhere
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Get-User
ETECS.Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA
ETECS.Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
ETECS.Microsoft Exchange Server 2010. Создание динамической группы рассылок
ETECS.Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
ETECS.Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
ETECS.Microsoft Exchange Server 2010. Создание нового соединителя получения
ETECS.Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
ETECS.Microsoft Exchange Server 2010. Попытка выполнения командлета Test-SystemHealth

Директивы:

ETECS. Microsoft Exchange Server 2010. Создание группы рассылки
ETECS. Microsoft Exchange Server 2010. Неудачная попытка удаления почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение свойств ведения журнала диагностики
ETECS. Microsoft Exchange Server 2010. Отключение почтового ящика
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания группы рассылки
ETECS. Microsoft Exchange Server 2010. Создание нового почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение параметров транспорта на транспортном сервере-концентраторе
ETECS. Microsoft Exchange Server 2010. Удаление почтового ящика
ETECS. Microsoft Exchange Server 2010. Сбор данных о работоспособности организации через консоль управления Exchange
ETECS. Microsoft Exchange Server 2010. Попытка изменения свойств клиентского доступа к Панели управления Exchange (ECP)
ETECS. Microsoft Exchange Server 2010. Включение почты (добавление почты по уже созданному пользователю)
ETECS. Microsoft Exchange Server 2010. Создание базы данных почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Включение ранее отключенного почтового ящика
ETECS. Microsoft Exchange Server 2010. Изменение политики почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Взаимодействие пользователя с консолью управления Exchange
ETECS. Microsoft Exchange Server 2010. Включение Outlook Anywhere
ETECS. Microsoft Exchange Server 2010. Отключение шлюза IP единой системы обмена сообщениями
ETECS. Microsoft Exchange Server 2010. Создание динамической группы рассылок
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания динамической группы рассылок
ETECS. Microsoft Exchange Server 2010. Удаление базы данных почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Выключение Outlook Anywhere
ETECS. Microsoft Exchange Server 2010. Переключение активных копий базы данных сервера
ETECS. Microsoft Exchange Server 2010. Создание нового почтового контакта
ETECS. Microsoft Exchange Server 2010. Создание нового соединителя получения
ETECS. Microsoft Exchange Server 2010. Неудачная попытка просмотра политики почтовых ящиков
ETECS. Microsoft Exchange Server 2010. Неудачная попытка создания нового соединителя получения
ETECS. Microsoft Exchange Server 2010. Неудачная попытка переключений активных копий базы данных сервера
ETECS. Microsoft Exchange Server 2010. Изменение свойств клиентского доступа к OWA

Пакет экспертиз Secret Net Studio (27.06.2023)

Фильтры:

ETECS. Secret Net Studio. Отключён защитный компонент системы
ETECS. Secret Net Studio. Базы СОВ устарели
ETECS. Secret Net Studio. Сервер обновлений недоступен
ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
ETECS. Secret Net Studio. Нарушение целостности ресурса
ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
ETECS. Secret Net Studio. Запрет подключения устройства
ETECS. Secret Net Studio. Антивирусные базы устарели
ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
ETECS. Secret Net Studio. Запрет доступа к устройству
ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
ETECS. Secret Net Studio. Обнаружено новое устройство
ETECS. Secret Net Studio. Устройство удалено из системы
ETECS. Secret Net Studio. Ошибка при печати документа
ETECS. Secret Net Studio. Обнаружены изменения в процессе контроля аппаратной конфигурации
ETECS. Secret Net Studio. Изменение параметров устройства

Директивы:

ETECS. Secret Net Studio. Режим ЗПС. Запрет запуска программы
ETECS. Secret Net Studio. Ошибка при печати документа
ETECS. Secret Net Studio. Сервер обновлений недоступен
ETECS. Secret Net Studio. Изменена аппаратная конфигурация компьютера
ETECS. Secret Net Studio. Компьютер заблокирован системой защиты
ETECS. Secret Net Studio. Нарушение целостности ресурса
ETECS. Secret Net Studio. Обнаружено нарушение целостности при обработке задания
ETECS. Secret Net Studio. СОВ заблокировала удалённый узел
ETECS. Secret Net Studio. Запрет доступа к конфиденциальному ресурсу
ETECS. Secret Net Studio. Запрет подключения устройства
ETECS. Secret Net Studio. Антивирусные базы устарели
ETECS. Secret Net Studio. Запрет доступа к файлу или каталогу
ETECS. Secret Net Studio. Базы СОВ устарели
ETECS. Secret Net Studio. Отключён защитный компонент системы
ETECS. Secret Net Studio. Подсистема сетевой защиты перешла в аварийный режим
ETECS. Secret Net Studio. Запрет изменения параметров конфиденциальности ресурса
ETECS. Secret Net Studio. Запрет доступа к устройству
ETECS. Secret Net Studio. Изменение параметров устройства

Пакет экспертиз Continent4 (16.06.2023)

Фильтры:

ETECS.Continent4. Удаление правила из БРП
ETECS.Continent4. Обновлена конфигурация узлов
ETECS.Continent4. Обнаружена Dos-атака
ETECS.Continent4. Ошибка при загрузке файла
ETECS.Continent4. Ошибка авторизации администратора в локальной консоли управления
ETECS.Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
ETECS.Continent4. Неудачная попытка подключения по SSH
ETECS.Continent4. Обнаружен потенциально опасный трафик
ETECS.Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
ETECS.Continent4. Обнаружена попытка воспользоваться бэкдором
ETECS.Continent4. Обнаружена веб-атака
ETECS.Continent4. Обнаружена активность сканеров сети
ETECS.Continent4. Обнаружена активность эксплойтов
ETECS.Continent4. Произошло нарушение политики безопасности
ETECS.Continent4. Обнаружено рекламное ПО
ETECS.Continent4. В инфраструктуре обнаружено шпионское ПО
ETECS.Continent4. Обнаружена активность программы загрузчика вредоносных файлов
ETECS.Continent4. Обнаружена утечка информации
ETECS.Continent4. Потеряна связь ЦУСа с узлом безопасности
ETECS.Continent4. Экспорт резервной копии
ETECS.Continent4. Выполнена загрузка нового бэкапа
ETECS.Continent4. Изменен срок действия для пароля администратора
ETECS.Continent4. Firewall заблокировал трафик
ETECS.Continent4. Выключения устройства из локального меню
ETECS.Continent4. Инициирована очистка журнала из консоли управления
ETECS.Continent4. Очистка журнала завершена
ETECS.Continent4. Обнаружено новое USB-устройство подключенное к платформе
ETECS.Continent4. Модуль tlsvpn_monit не отвечает
ETECS.Continent4. Инициализирован запрос на выключение узла безопасности
ETECS.Continent4. Администратор отвязал лицензию от хоста
ETECS.Continent4. Добавлен администратор с правами встроенной роли администратора
ETECS.Continent4. Добавление роли администратора
ETECS.Continent4. Обновлена настройка роли администратора
ETECS.Continent4. Сервер мониторинга остановлен
ETECS.Continent4. Создана задача на создание резервной копии
ETECS.Continent4. Добавление новой УЗ администратора
ETECS.Continent4. Обновлена политика паролей

Директивы:

ETECS. Continent4. Firewall заблокировал трафик
ETECS. Continent4. Администратор отвязал лицензию от хоста
ETECS. Continent4. В инфраструктуре обнаружено шпионское ПО
ETECS. Continent4. Выключения устройства из локального меню
ETECS. Continent4. Загрузка нового бэкапа
ETECS. Continent4. Добавление новой УЗ администратора
ETECS. Continent4. Добавление роли администратора
ETECS. Continent4. Изменен срок действия для пароля администратора
ETECS. Continent4. Инициализирован запрос на выключение узла безопасности
ETECS. Continent4. Инициирована очистка журнала из консоли управления
ETECS. Continent4. Модуль tlsvpn_monit не отвечает
ETECS. Continent4. Обнаружена утечка информации
ETECS. Continent4. Обнаружена Dos-атака
ETECS. Continent4. Обнаружена активность вредоносного ПО для мобильных приложений
ETECS. Continent4. Обнаружена активность программы загрузчика вредоносных файлов
ETECS. Continent4. Обнаружена активность сканеров сети
ETECS. Continent4. Обнаружена активность эксплойтов
ETECS. Continent4. Обнаружена веб-атака
ETECS. Continent4. Произошло нарушение политики безопасности (СОВ)
ETECS. Continent4. Обнаружена попытка воспользоваться бэкдором
ETECS. Continent4. Обнаружено новое USB-устройство, подключенное к платформе
ETECS. Continent4. Обнаружено рекламное ПО
ETECS. Continent4. Обновлена конфигурация узлов
ETECS. Continent4. Обновлена настройка роли администратора
ETECS. Continent4. Обновлена политика паролей
ETECS. Continent4. Ошибка авторизации администратора в локальной консоли управления
ETECS. Continent4. Неудачная попытка подключения по SSH
ETECS. Continent4. Ошибка подключения к ЦУС через менеджер конфигурации
ETECS. Continent4. Ошибка при загрузке файла обновления
ETECS. Continent4. Потеряна связь ЦУСа с узлом безопасности
ETECS. Continent4. Сервер мониторинга остановлен
ETECS. Continent4. Экспортирована новая резервная копия
ETECS. Continent4. Удаление правила из БРП
ETECS. Contitent4. Обнаружен потенциально опасный трафик

Пакет экспертиз Cyber Protego (24.05.2023)

Фильтры:

ETECS. Cyber Protego. Запрещенный поисковый запрос
ETECS. Cyber Protego. Web-поиск запрещён
ETECS. Cyber Protego. Запрет на исходящий контент
ETECS. Cyber Protego. Запрет на входящий контент
ETECS. Cyber Protego. Запрет на копирование
ETECS. Cyber Protego. Создание снимка экрана
ETECS. Cyber Protego. Печать документа
ETECS. Cyber Protego. Ошибка чтения
ETECS. Cyber Protego. Монтирование/размонтирование диска
ETECS. Cyber Protego. Добавление/удаление устройств
ETECS. Cyber Protego. Keylogger обнаружен
ETECS. Cyber Protego. Подключение стороннего модема

Директивы:

ETECS. Cyber Protego. Web-поиск запрещён
ETECS. Cyber Protego. Запрещенный поисковый запрос
ETECS. Cyber Protego. Запрет на копирование
ETECS. Cyber Protego. Запрет на исходящий файл/сообщение
ETECS. Cyber Protego. Запрет на входящий файл/сообщение
ETECS. Cyber Protego. Создание снимка экрана
ETECS. Cyber Protego. Печать документа
ETECS. Cyber Protego. Ошибка чтения
ETECS. Cyber Protego. Монтирование/размонтирование диска
ETECS. Cyber Protego. Добавление/удаление устройств
ETECS. Cyber Protego. Keylogger обнаружен
ETECS. Cyber Protego. Подключение стороннего модема

Пакет экспертиз Staffcop Enterprise (14.02.2023)

Фильтры:

ETECS. Staffcop Enterprise. Любое событие
ETECS. Staffcop Enterprise. Запуск OneDrive
ETECS. Staffcop Enterprise. Запуск PowerShell
ETECS.Staffcop Enterprise. Изменение файлов в системе
ETECS.Staffcop Enterprise. Удалённое подключение администратора
ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
ETECS. Staffcop Enterprise. Архиваторы
ETECS. Staffcop Enterprise. Работа программ для майнинга
ETECS. Staffcop Enterprise. Обход мониторинга событий
ETECS. Staffcop Enterprise. Блокировка экрана
ETECS. Staffcop Enterprise. Ввод с клавиатуры
ETECS. Staffcop Enterprise. Информационная безопасность
ETECS. Staffcop Enterprise. Файлообменники
ETECS. Staffcop Enterprise. Инцидент
ETECS. Staffcop Enterprise. Системное manage

Директивы:

ETECS. Staffcop Enterprise. Запуск OneDrive
ETECS. Staffcop Enterprise. Запуск PowerShell
ETECS. Staffcop Enterprise. Изменение файлов в системе
ETECS. Staffcop Enterprise. Удалённое подключение администратора
ETECS. Staffcop Enterprise. Работа программ для удалённого доступа
ETECS. Staffcop Enterprise. Архиваторы
ETECS. Staffcop Enterprise. Работа программ для майнинга
ETECS. Staffcop Enterprise. Обход мониторинга событий
ETECS. Staffcop Enterprise. Блокировка экрана
ETECS. Staffcop Enterprise. Информационная безопасность
ETECS. Staffcop Enterprise. Файлообменники
ETECS. Staffcop Enterprise. Системное manage

Пакет экспертиз ПК «Стахановец» (28.09.2024)

Фильтры:

ETECS.Stakhanovets. Запуск программы из списка угроз
ETECS.Stakhanovets. Запуск сайта из списка угроз
ETECS.Stakhanovets. Ввод текста из списка угроз
ETECS.Stakhanovets. Печать документа
ETECS.Stakhanovets. Копирование на flash-диск
ETECS.Stakhanovets. Копирование в выбранные папки
ETECS.Stakhanovets. Отправка файла " 107: " вставка flash-диска
ETECS.Stakhanovets. Изображение в буфере обмена
ETECS.Stakhanovets. DLP: чтение документа
ETECS.Stakhanovets. DLP: документ в буфере обмена
ETECS.Stakhanovets. DLP: текст в буфере обмена
ETECS.Stakhanovets. DLP: снимок экрана
ETECS.Stakhanovets. DLP: копирование на flash-диск
ETECS.Stakhanovets. DLP: копирование в выбранные папки
ETECS.Stakhanovets. DLP: отправка документа
ETECS.Stakhanovets. DLP: голос
ETECS.Stakhanovets. Нетипичное поведение
ETECS.Stakhanovets. Изменение оборудования/софта
ETECS.Stakhanovets. Возможное удаление клиента
ETECS.Stakhanovets. Нет лица перед веб-камерой
ETECS.Stakhanovets. Чужое лицо перед веб-камерой
ETECS.Stakhanovets. Более 1-го лица перед веб-камерой
ETECS.Stakhanovets. Отсрочка выключения ПК
ETECS.Stakhanovets. Проблема на клиенте
ETECS.Stakhanovets. Изменение состояния микрофона
ETECS.Stakhanovets. Критическое приложение/сайт
ETECS.Stakhanovets. Вход пользователя в систему
ETECS.Stakhanovets. Запуск программы из черного списка
ETECS.Stakhanovets. DLP: печать документа
ETECS.Stakhanovets. Запуск запрещенной команды в терминале Linux
ETECS.Stakhanovets. USB-устройство было заблокировано

Директивы:

ETECS.Stakhanovets. Запуск программы из списка угроз
ETECS.Stakhanovets. Запуск сайта из списка угроз
ETECS.Stakhanovets. Ввод текста из списка угроз
ETECS.Stakhanovets. Печать документа
ETECS.Stakhanovets. Копирование на flash-диск
ETECS.Stakhanovets. Копирование в выбранные папки
ETECS.Stakhanovets. Отправка файла " 107: " вставка flash-диска
ETECS.Stakhanovets. Изображение в буфере обмена
ETECS.Stakhanovets. DLP: чтение документа
ETECS.Stakhanovets. DLP: документ в буфере обмена
ETECS.Stakhanovets. DLP: текст в буфере обмена
ETECS.Stakhanovets. DLP: снимок экрана
ETECS.Stakhanovets. DLP: копирование на flash-диск
ETECS.Stakhanovets. DLP: копирование в выбранные папки
ETECS.Stakhanovets. DLP: отправка документа
ETECS.Stakhanovets. DLP: голос
ETECS.Stakhanovets. Нетипичное поведение
ETECS.Stakhanovets. Изменение оборудования/софта
ETECS.Stakhanovets. Возможное удаление клиента
ETECS.Stakhanovets. Нет лица перед веб-камерой
ETECS.Stakhanovets. Чужое лицо перед веб-камерой
ETECS.Stakhanovets. Более 1-го лица перед веб-камерой
ETECS.Stakhanovets. Отсрочка выключения ПК
ETECS.Stakhanovets. Проблема на клиенте
ETECS.Stakhanovets. Изменение состояния микрофона
ETECS.Stakhanovets. Критическое приложение/сайт
ETECS.Stakhanovets. Вход пользователя в систему
ETECS.Stakhanovets. Запуск программы из черного списка
ETECS.Stakhanovets. DLP: печать документа
ETECS.Stakhanovets. Запуск запрещенной команды в терминале Linux
ETECS.Stakhanovets. USB-устройство было заблокировано

Пакет экспертиз (март 2022)

Поля событий

При сборе с различных систем поля событий разнятся и не всегда могут быть верно определены, для того чтобы из полученного события корректно отобразилось поле, мы включаем в пакет экспертиз поля событий:

Description - описание

Фильтры

Фильтрация является ключевым параметром поиска и выявления инцидентов. Для упрощения мы предоставляем набор фильтров, которые помогут эффективно искать события с ключевых систем защиты информации.

WMI. Блокирование учетной записи после многочисленных неуспешных попыток
WMI. Обнаруживает удаление правила аудита
WMI. Модификация ветвей реестра
WMI. Обнаружение Shellcode Base64
WMI. Обнаружение доступа к LSASS
WMI. Обнаружение запуска скрипта PowerShell в AppData
SQL. Kaspersky. Не установлено антивирусное ПО
SQL. Kaspersky. Остановка задачи
SQL. Kaspersky. Ошибка активации
SQL. Kaspersky. Срабатывание защиты
SQL. Kaspersky. Срабатывание самозащиты
WMI. Обнаружение инъекции Mavinject
SQL. Все события
WMI. Обнаружение операций с учетными записями пользователей
WMI. Обнаружение подозрительного дескриптора процесса в LSASS
WMI. Блокирования учетной записи после многочисленных неуспешных попыток
WMI. Обнаружение входа в систему с использованием протокола NTLM
WMI. Обнаружение подозрительных SVCHOST процессов
WMI. Обнаружение попытки входа под заблокированной учетной записью
WMI. Обнаружение сброса/удаления журналов событий
WMI. Обнаружение установки модуля собственного кода IIS
WMI. Обнаружение удаления бекапов
WMI. Обнаружения вызова средства диагностики Active Directory -ntdsutil
WMI. Подозрительная активность RASdial
Syslog. Запуск NetCat
WMI. Обнаружение возможной разведывательной деятельности
WMI. Обнаружение запуска PsExec
WMI. Обнаружение использования истории SID
WMI. Обнаружение доступа к WCEaux.dll
WMI. Обнаружение слабого шифрования в учетных записях
WMI. Обнаружение использования PlugX из необычного расположения
WMI. Обнаружение подозрительного процесса MSIEXEC
WMI. Обнаружение подозрительной активности Rundll32
WMI. Обнаружение синхронизации Miimikatz DC
WMI. Обнаружение smbexec.py
WMI. Обнаружение подозрительной командной строки PowerShell
WMI. Все события
WMI. Обнаружение возможного обхода Applocker
WMI. Обнаружение доступа к групповым политикам
WMI. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
WMI. Обнаружение флагов WannaCry
WMI. Обнаружение включения прав для управления объектами
SQL. Kaspersky. Режим ограниченной функциональности
SQL. Kaspersky. Устарели базы САВЗ
SQL. Kaspersky. Неполная комплектация САВЗ
SQL. Kaspersky. Сбой обновления
SQL. Kaspersky. Сторонний источник баз САВЗ
All. Обнаружение важных антивирусных событий Linux. Ошибка аутентификации при попытке входа от учетной записи администратора
WMI. Reverce RDP
WMI. Обнаружение атаки - Понижение версии NetNTLM
WMI. Обнаружение взлома - RULER
WMI. Обнаружение вредоносной серверной установки
WMI. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
WMI. Обнаружение использования Mimikatz
WMI. Обнаружение передачи пользователю прав локального администратора
WMI. Обнаруживает удаление правила аудита
WMI. Обнаружение подозрительных мест запуска процесса

осторожно

Представленный набор фильтров является шаблоном. Для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Директивы корреляции

Директива определяет, что является инцидентом, а что нет. Мы берём кейсы наших заказчиков, ориентируемся на MITRE ATT&CK® и БДУ ФСТЭК и оформляем их как шаблоны для ваших директив.

Kaspersky: Базы устарели
Kaspersky: Сбой обновления
Kaspersky: Остановка задачи
Kaspersky: Срабатывание самозащиты
Kaspersky: Не установлено антивирусное ПО
Kaspersky: Срабатывание защиты
Kaspersky: Ошибка активации
Windows. Обнаружение слабого шифрования в учетных записях
Windows. Обнаружение взлома - RULER
Windows. Обнаружение доступа к LSASS
Windows. Обнаружение использования Mimikatz
Windows. Обнаружение синхронизации Miimikatz DC
Windows. Обнаружение удаления правила аудита
Windows. Обнаружение вредоносной серверной установки
Windows. Обнаружение доступа к WCEaux.dll
Windows. Обнаружение атаки - Понижение версии NetNTLM
Windows. Обнаружение запуска PsExec
Windows. Обнаружение использования истории SID
Windows. Обнаружение удаления бекапов
Windows. Обнаружение установки модуля собственного кода IIS
Windows. Обнаружение smbexec.py
Windows. Обнаружение использования PlugX из необычного расположения
Windows. Обнаружение возможного обхода Applocker
Windows. Обнаружение Shellcode Base64
Windows. Обнаружение подозрительного процесса MSIEXEC
Windows. Обнаружение возможной разведывательной деятельности
Windows. Обнаружения вызова средства диагностики Active Directory -ntdsutil
Windows. Обнаружение входа в систему с использованием NTLM
Windows. Обнаружение подозрительной командной строки PowerShell
Windows. Обнаружение запуска скрипта PowerShell в AppData
Windows. Обнаружение подозрительной активности Rundll32
Windows. Обнаружение подозрительных мест запуска процесса
Windows. Обнаружение подозрительных SVCHOST процессов
Windows. Обнаружение передачи пользователю прав локального администратора
Windows. Обнаружение флагов WannaCry
Windows. Обнаружение попытки входа под заблокированной учетной записью
Windows. Операции с учетными записями
Kaspersky: Неполная комплектация антивирусного средства
Kaspersky: Сторонний источник баз
Kaspersky: Режим ограниченной функциональности
Windows. Обнаружение инъекции Mavinject
Windows. Обнаружение изменения пароля для учетной записи режима восстановления службы каталогов (DSRM)
Windows. Обнаружение подозрительного дескриптора процесса в LSASS
Windows. Обнаружение подозрительного шифрования Kerberos RC4 Ticker
Windows. Обнаружение доступа к групповым политикам
Windows. Обнаружение блокирования учетной записи после многочисленных неуспешных попыток
Windows. Reverce RDP
Windows. Модификация ветвей реестра
Syslog. Запуск NetCat
Windows. Попытка входа от учетной записи администратора
Windows. Подозрительная активность RASdial
Windows. Обнаружение включения прав для управления объектами
All. Обнаружение важных антивирусных событий
Windows. Обнаружение сброса/удаления журналов

осторожно

Представленный набор директив является шаблоном. Для работы их необходимо настроить под свою сеть или цели. Добавить IP и/или код события.

Пакет экспертиз Infotecs ViPNet

Поля событий

CEFX.InfotecsEPPModule - ViPNet. Модуль
CEFX.InfotecsEPPHost - ViPNet. Имя источника
ECS.Log.Syslog.IdsSDID10812.Rev - ViPNet. Rev
ECS.Log.Syslog.IdsSDID10812.Gid - ViPNet. Gid
ECS.Log.Syslog.IdsSDID10812.Sid - ViPNet. Sid
ECS.Log.Syslog.IdsSDID10812.Desc - ViPNet. Desc
ECS.Source.ProcessName - ViPNet. Имя процесса
ECS.Source.UserName - ViPNet. Активная учетная запись пользователя
CEFX.InfotecsEPPThreatCat - ViPNet. Категория угрозы
CEFX.InfTIASRecommendations - ViPNet. Рекомендации от TIAS

Фильтры

ViPNet IDS NS. Действия пользователя. Вход/выход в систему
ViPNet IDS NS. Изменение правил анализа. Добавление правила
ViPNet IDS NS. Информационный уровень важности
ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
ViPNet IDS NS. ET MALWARE Webhancer Data Upload
ViPNet IDS NS. Резервное копирование
ViPNet IDS NS. Управление учетными записями
ViPNet IDS NS. Изменение правил анализа
ViPNet IDS NS. Изменения конфигурации
ViPNet IDS NS. Состояния модулей
ViPNet HW. Шаблон
ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
ViPNet IDS NS. Шаблон для CEF
ViPNet IDS NS. Шаблон для RFC 3164
ViPNet TIAS. Важность 7 и выше
ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента
ViPNet TIAS. Сообщение об обнаружении нового инцидента
ViPNet TIAS. Шаблон
ViPNet EPP. Контроль приложений
ViPNet EPP. Неизвестный источник
ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
ViPNet EPP. Мониторинг системных обновлений
ViPNet IDS NS. Высокий уровень важности
ViPNet IDS NS. Низкий уровень важности
ViPNet IDS NS. Средний уровень важности
ViPNet EPP. Контроль реестра
ViPNet EPP. Контроль установки приложений
ViPNet EPP. Логины пользователей
ViPNet EPP. Системная активность
ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
ViPNet EPP. Опасное событие
ViPNet EPP. Сетевая активность /Правила обнаружения сетевых атак
ViPNet EPP. Информационное событие
ViPNet EPP. Критическое событие
ViPNet EPP. Важное событие
ViPNet EPP. Изменения учетных записей
ViPNet EPP. Контроль выполняемых команд
ViPNet EPP. Контроль процессов
ViPNet EPP. Контроль файла
ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
ViPNet EPP. Шаблон по источнику/журналу событий
ViPNet HW. Изменился IP-адрес сетевого узла
ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
ViPNet IDS NS. AM CURRENT_EVENTS Possible shellcode %u0a0a.
ViPNet IDS NS. Анализ трафика
ViPNet IDS NS. Действия пользователей
ViPNet IDS NS. Очистка журнала событий. Неудача
ViPNet IDS NS. Очистка журнала событий. Успех
ViPNet IDS NS. Самотестирование
ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
ViPNet IDS NS. Шаблон для RFC 5424

осторожно

Директивы корреляции

ViPNet EPP. Важное событие
ViPNet EPP. Опасное событие
ViPNet IDS NS. Средний уровень важности
ViPNet IDS NS. Информационный уровень важности
ViPNet IDS NS. AM CURRENT_EVENTS Base64 - Landing Page Received - base64encode
ViPNet IDS NS. AM CURRENT_EVENTS Possible %41%41 Heap Spray Attempt
ViPNet IDS NS. ARPSPOOF ARP CACHE OVERWRITE ATTACK
ViPNet IDS NS. Действия пользователя. Вход/выход в систему
ViPNet IDS NS. Высокий уровень важности
ViPNet IDS NS. Низкий уровень важности
ViPNet IDS NS. Очистка журнала событий. Успех
ViPNet IDS NS. Управление учетными записями. Изменение логина и пароля
ViPNet EPP. Обнаружение вредоносной активности RemSec. 900 000 - 999 999
ViPNet EPP. Информационное событие
ViPNet EPP. Критическое событие
ViPNet EPP. Обнаружение бесфайловых атак.380 000 - 399 999
ViPNet TIAS. Важность 7 и выше
ViPNet TIAS. Сообщение об обнаружении нового инцидента
ViPNet TIAS. Сообщение об обновлении информации об инциденте в результате агрегации
ViPNet TIAS. Сообщение об изменении статуса ранее выявленного инцидента