Предустановленные правила для обращения к файловым ресурсам

• Временная выдача прав на файл/папку
• Обращение к критичным ресурсам
• Большое количество пользователей, работающих с файлом
• Работа с определенными типами файлов
• Статистика изменений прав доступа к файлам/папкам

Предустановленные правила для MS SQL

• Временное создание учетных данных MS SQL
• Временное включение учетных данных MS SQL
• Статистика изменения прав доступа к MS SQL
• Временное включение пользователя в роль безопасности БД
• Задание пароля учетной записи SQL администратором БД
• Временное переименование учетных данных MS SQL
• Операции над учетными записями MS SQL
• Изменение серверных ролей MS SQL
• Операции с базами данных

Предустановленные правила для антивируса Kaspersky

• Самозащита антивируса заблокировала выполнение программы
• Самозащита антивируса отключена
• Отключены антивирусные компоненты защиты
• Критический статус компьютера
• Обнаружена потенциально опасная программа
• Информационные сообщения
• Критические
• Отказ функционирования
• Не удалось выполнить административную задачу управления
• Отсутствует лицензия на антивирус
• Изменения в составе административной группы управления
• Заблокированные и зараженные программы
• Выявлена вирусная эпидемия
• Предупреждения
• Прочие события

События MS Exchange

• Изменение параметров аудита администратора
• Группы ролей управления изменены
• Доступ к почтовому ящику не владельцем
• Предоставление доступа к почтовому ящику
• Изменение статуса почтового ящика
• Изменение состава ролей управления
• Доступ по Outlook WEB App
• Обращение к почтовому ящику извне
• Предоставление доступа Exchnage ActiveSync
• Миграция почтового ящика в другую базу
• Изменения квот почтового ящика

Предустановленные правила по активности пользователей

• Активность вне рабочего времени
• Активность давно отсутствующего пользователя

Предустановленные правила для событий Syslog

• Собственные правила SysLog
• События ядра операционной системы
• События пользовательского уровня
• События почтовых систем
• События системных демонов
• События безопасности и авторизации
• События протокола построчной печати
• События новостного протокола
• Внутренние события SysLog
• События подсистем UUCP
• События сервисов времени
• События FTP демонов
• События подсистем NTP
• События журналирования
• Предупреждения журналирования
• События сервисов планирования
• Другие события

Предустановленные правила для Device

• Копирование на съемное устройство
• Операции с исполнимыми файлами на устройствах
• Выполнение файла со съемного устройства
• Копирование большого числа файлов на съемное устройство
• Копирование большого объема данных на устройство

Предустановленные правила для приложений «СёрчИнформ КИБ»

• Инциденты в AlertCenter

Предустановленные правила для Oracle

• Неудачные попытки входа в систему
• Удачные попытки входа в систему
• Создание пользователя или роли
• Удаление пользователя или роли
• Блокировка/разблокировка пользователя
• Изменение пароля пользователя
• События Listener

Предустановленные правила для VMWare

• Событие входа/выхода VMview
• Событие входа/выхода VMware
• Неправильные пароли
• Неудачные попытки входа
• Создание группы пользователей
• Смена пароля пользователя
• Создание/удаление пользователей
• Удаление снапшотов
• Удаление директорий VM
• Остановка/запуск виртуальных машин
• Удаление виртуальной машины
• Ошибки соединения с LDAP
• Перегрев оборудования
• Собственное правило VMware
• Остальные события VMware

Предустановленные правила для Cisco

• Ошибки при работе системы
• Ошибки питания
• Отказ системы охлаждения
• Конфликты и ошибки DHCP
• Ошибки маршрутизации
• Найден дублирующий ID роутера
• Сбой аутентификации Wi-Fi
• Переполнение буфера
• События входа/выхода в консоль
• Вход под встроенной учетной записью
• Вход с повышенными привилегиями
• Ввод команд
• Команды write term/write memory
• Изменения конфигурации
• Уведомления об атаках
• События TeamViewer (ASA)
• Собственное правило CISCO
• События соединений через VPN Cisco ASA
• Остальные события Cisco
• События ACL
• События фильтрации соединений
• Сброшенные или не установленные соединения

Linux. События входа/выхода

• Пользователь не входит в группу sudoers
• Вход с повышенными привилегиями
• Изменение пользовательской оболочки
• Неудачные попытки авторизации
• Консольный вход ROOT

Linux. События SSH

• События входа/выхода
• Открытие/закрытие сессии
• Неуспешные попытки доступа
• Многочисленный сбой аутентификации
• Неправильные пароль
• Вход запрещен
• Не получена строки идентификации
• Пользователь не существует
• Соединение отклонено
• Ошибка обратного сопоставления адреса

Linux. Учетные записи

• Ошибка создания учетной записи
• Изменение первичной группы пользователя
• Блокировка/разблокировка учетной записи
• Изменение UID пользователя
• Добавление/удаление пользователя в группу
• Переименование учетной записи
• Изменение домашней директории пользователя
• Создание/удаление учетной записи
• Изменение параметров учетной записи
• Изменение пароля пользователем

Linux. События DNS

• Отказ передачи зоны DNS
• Отказ при запросе DNS
• Проблема определения PTR NS записи

Linux. События Cron

• Сессия открыта/закрыта
• Замещение заданий Cron
• Запуск задачи
• Удаление пользователя из crontab

Linux. Другие события

• Лог выполнения команд
• Выполнение команды посредством sudo
• Изменение политики паролей
• Недостаточно места на жестком диске
• События DHCP
• Ошибки сегментации
• Операции с shadow
• Создание/удаление группы пользователей
• Изменение пула ресурсов
• Неудачная аутентификация на MySQL
• Собственное правило Linux
• Остальные события Linux

Postfix. Ошибки

• Ошибки верификации отправителя
• Ошибка определения имени домена получателя
• Ошибки SSL соединений
• Потеря соединения после команды AUTH
• Многочисленные ошибки после команды AUTH
• Ошибка определения адреса
• Имя хоста отправителя не найдено

Postfix. Основные события

• Доступ к релею запрещен
• Неизвестное соединение на SMTP порт
• Статистика max connection rate
• Неудачная попытка аутентификации
• События с неизвестным пользователем
• Попытка отправить почту на неизвестный домен
• Вход с неизвестного источника

События Apache

• Ошибки авторизации
• Пользователь не найден
• Неправильный пароль
• Использована неправильная схема авторизации
• Клиент отклонен в связи с конфигурацией сервера
• Ошибки Nonce
• Неизвестный алгоритм шифрования
• Другие ошибки

События Fortigate

• Событие журнала Anomaly
• Событие журнала App
• Событие журнала AV
• Событие журнала DLP
• Событие журнала Email
• Событие журнала Event
• Событие журнала GTP
• Событие журнала IPS
• Событие журнала Traffic
• Событие журнала VoIP
• Событие журнала WAF
• Событие журнала Web

События Vsftpd

• Создание клиента с FTP
• Скачивание файла с FTP
• Создание файла на FTP
• Удаление файла с FTP
• Удаление директории на FTP
• Создание директории на FTP

Предустановленные правила для RedCheck

• Аудит защищенности СУБД
• Аудит серверов приложений
• Аудит уязвимостей
• Управление обновлениями

События Symantec

• Обнаружен вирус
• Выявлена вирусная эпидемия
• Выявлена сетевая атака или использование уязвимости ПО
• Выбранные методы лечения
• События сканирования
• Системные события агента
• Журнал оповещений Symantec

События Palo Alto

• События журнала Traffic
• События журнала Threat
• События журнала Config
• События журнала System
• События журнала Hip-match
• События журнала User ID
• События журнала Tunnel inspection
• События журнала Authentification
• События журнала Correlated

События Check Point

• События Identity Awareness
• События Endpoint Security on demand
• События SecureClient и Edge
• События IPS
• События AntiVirus
• События AntiBot и AntiMalware
• События Threat Emuliation
• События AntiSpam
• События URL Filtering
• События Application Control
• События DLP
• События SmartDashboard
• Собственное правило Check Point
• Остальные события Check Point

Предустановленные правила для 1С

• Изменение проведенного документа
• Изменение прав доступа к регистрам
• Изменение состава роли
• Изменение прав доступа пользователя
• Изменение права администрирования
• Вход в нерабочие часы
• Создание нового пользователя
• Изменение привилегированного режима пользователя
• Использование привилегированного режима
• Изменение списка ролей пользователя
• Вход под отсутствующим пользователем
• События технологического журнала
• Контроль событий о резервных копиях

События McAfee

• Выявлена вредоносная программа
• Выявлена Шпионская программа
• Выявлена нежелательная программа
• Выявлены прочие угрозы
• Выявлена вирусная эпидемия
• Журнал задач McAfee
• Журнал аудита McAfee
• Компьютеры с установленными агентами (Системы)