ПРАВИЛА «СЁРЧИНФОРМ SIEM»

Правила «СёрчИнформ SIEM» – это набор параметров, которые позволяют определить взаимосвязь между событиями, а также отнести те или иные события к категории инцидентов.


 

AD. Логины и пароли

  • Временное переименование
  • Подбор паролей
  • Несколько учетных записей на одном ПК
  • Задание пароля администратором домена
  • Устаревшие пароли
  • Статистика входов в систему
  • Одна учетная запись на нескольких ПК
  • Смена пароля пользователем
  • Попытка входа под несуществующим пользователем
  • Попытка входа под заблокированным пользователем
  • Подбор логина
 

AD. Права доступа

  • Временное переименование учетной записи
  • Временное включение учетной записи
  • Временное добавление учетной записи в группу
  • Устаревшие учетные записи AD
  • Временная выдача прав доступа AD
  • Создание временной учетной записи
  • Операции над учетной записью
  • Изменение состава критичных групп пользователей
 

AD. Другие события

  • Очистка журнала событий пользователем
  • Изменение политики аудита
 

События FileController

  • Временная выдача прав на файл/папку
  • Обращение к критичным ресурсам
  • Большое количество пользователей, работающих с файлом
  • Работа с определенными типами файлов
  • Статистика изменений прав доступа к файлам/папкам
 

События MS SQL

  • Временное создание учетных данных MS SQL
  • Временное включение учетных данных MS SQL
  • Статистика изменения прав доступа к MS SQL
  • Временное включение пользователя в роль безопасности БД
  • Задание пароля учетной записи SQL администратором БД
  • Временное переименование учетных данных MS SQL
 

События KAV

  • Самозащита антивируса заблокировала выполнение программы
  • Самозащита антивируса отключена
  • Отключены антивирусные компоненты защиты
  • Критический статус компьютера
  • Обнаружена потенциально опасная программа
  • Не удалось выполнить административную задачу управления
  • Отсутствует лицензия на антивирус
  • Изменения в составе административной группы управления
  • Заблокированные и зараженные программы
  • Выявлена вирусная эпидемия
 

События MS Exchange

  • Изменение параметров аудита администратора
  • Группы ролей управления изменены
  • Изменение прав доступа к почтовому ящику
  • Изменение статуса почтового ящика
  • Доступ к почтовому ящику не владельцем
  • Изменение состава ролей управления
  • Доступ по Outlook WEB App
 

События ProgrammController

  • Активность вне рабочего времени
  • Активность давно отсутствующего пользователя
 

События Syslog

  • Собственные правила SysLog
  • События ядра операционной системы
  • События пользовательского уровня
  • События почтовых систем
  • События системных демонов
  • События безопасности и авторизации
  • События протокола построчной печати
  • События новостного протокола
  • Внутренние события SysLog
  • События подсистем UUCP
  • События сервисов времени
  • События FTP демонов
  • События подсистем NTP
  • События журналирования
  • Предупреждения журналирования
  • События сервисов планирования
  • Другие события
 

События DeviceController

  • Копирование на съемное устройство
  • Операции с исполнимыми файлами на устройствах
  • Выполнение файла со съемного устройства
  • Копирование большого числа файлов на съемное устройство
  • Копирование большого объема данных на устройство
 

События КИБ СёрчИнформ

  • Изменения в AlertCenter
  • Инциденты в AlertCenter
  • События DataCenter
 

События Oracle

  • Неудачные попытки входа в систему
  • Удачные попытки входа в систему
  • Создание пользователя или роли
  • Удаление пользователя или роли
  • Блокировка/разблокировка пользователя
  • Изменение пароля пользователя
  • События Listener
 

События VMware

  • Событие входа/выхода VMview
  • Событие входа/выхода VMware
  • Неправильные пароли
  • Неудачные попытки входа
  • Создание группы пользователей
  • Смена пароля пользователя
  • Создание/удаление пользователей
  • Удаление снапшотов
  • Удаление директорий VM
  • Остановка/запуск виртуальных машин
  • Удаление виртуальной машины
  • Ошибки соединения с LDAP
  • Перегрев оборудования
  • Собственное правило VMware
  • Остальные события VMware
 

CISCO. Соединения

  • События ACL
  • События фильтрации соединений
  • Сброшенные или неустановленные соединения
 

CISCO. Ошибки

  • Ошибки при работе системы
  • Ошибки питания
  • Отказ системы охлаждения
  • Конфликты и ошибки DHCP
  • Ошибки маршрутизации
  • Найден дублирующий ID роутера
  • Сбой аутентификации Wi-Fi
  • Переполнение буфера
 

CISCO. Основные события

  • События входа/выхода в консоль
  • Вход под встроенной учетной записью
  • Вход с повышенными привилегиями
  • Ввод команд
  • Команды write term/write memory
  • Изменение конфигурации
  • Уведомления об атаках
  • Заблокированные DNS запросы
  • События TeamViewer (ASA)
  • Собственное правило CISCO
  • Остальные события CISCO
 

Linux. События входа/выхода

  • Пользователь не входит в группу sudoers
  • Вход с повышенными привилегиями
  • Изменение пользовательской оболочки
  • Неудачные попытки авторизации
  • Консольный вход ROOT
 

Linux. События SSH

  • События входа/выхода
  • Открытие/закрытие сессии
  • Неуспешные попытки доступа
  • Многочисленный сбой аутентификации
  • Неправильные пароль
  • Вход запрещен
  • Не получена строки идентификации
  • Пользователь не существует
  • Соединение отклонено
  • Ошибка обратного сопоставления адреса
 

Linux. Учетные записи

  • Ошибка создания учетной записи
  • Изменение первичной группы пользователя
  • Блокировка/разблокировка учетной записи
  • Изменение UID пользователя
  • Добавление/удаление пользователя в группу
  • Переименование учетной записи
  • Изменение домашней директории пользователя
  • Создание/удаление учетной записи
  • Изменение параметров учетной записи
  • Изменение пароля пользователем
 

Linux. События DNS

  • Отказ передачи зоны DNS
  • Отказ при запросе DNS
  • Проблема определения PTR NS записи
 

Linux. События Cron

  • Сессия открыта/закрыта
  • Замещение заданий Cron
  • Запуск задачи
  • Удаление пользователя из crontab
 

Linux. Другие события

  • Лог выполнения команд
  • Выполнение команды посредством sudo
  • Изменение политики паролей
  • Недостаточно места на жестком диске
  • События DHCP
  • Ошибки сегментации
  • Операции с shadow
  • Создание/удаление группы пользователей
  • Изменение пула ресурсов
  • Неудачная аутентификация на MySQL
  • Собственное правило Linux
  • Остальные события Linux
 

Postfix. Ошибки

  • Ошибки верификации отправителя
  • Ошибка определения имени домена получателя
  • Ошибки SSL соединений
  • Потеря соединения после команды AUTH
  • Многочисленные ошибки после команды AUTH
  • Ошибка определения адреса
  • Имя хоста отправителя не найдено
 

Postfix. Основные события

  • Доступ к релею запрещен
  • Неизвестное соединение на SMTP порт
  • Статистика max connection rate
  • Неудачная попытка аутентификации
  • События с неизвестным пользователем
  • Попытка отправить почту на неизвестный домен
  • Вход с неизвестного источника
 

События Apache

  • Ошибки авторизации
  • Пользователь не найден
  • Неправильный пароль
  • Использована неправильная схема авторизации
  • Клиент отклонен в связи с конфигурацией сервера
  • Ошибки Nance
  • Неизвестный алгоритм шифрования
  • Другие ошибки
 

События Fortigate

  • Событие журнала Anomaly
  • Событие журнала App
  • Событие журнала AV
  • Событие журнала DLP
  • Событие журнала Email
  • Событие журнала Event
  • Событие журнала GTP
  • Событие журнала IPS
  • Событие журнала Traffic
  • Событие журнала VoIP
  • Событие журнала WAF
  • Событие журнала Web
 

События Vsftpd

  • Создание клиента с FTP
  • Скачивание файла с FTP
  • Создание файла на FTP
  • Удаление файла с FTP
  • Удаление директории на FTP
  • Создание директории на FTP
 

События CWA

  • Вход в систему в нерабочее время
  • Изменение данных проведенного документа
  • Заведение документов в нерабочее время
  • Скачкообразное изменение веса
 

События Symantec

  • Обнаружен вирус
  • Выявлена вирусная эпидемия
  • Выявлена сетевая атака или использование уязвимости ПО
  • Выбранные методы лечения
  • События сканирования
  • Системные события агента
  • Журнал оповещений Symantec
 

События Palo Alto

  • События журнала Traffic
  • События журнала Threat
  • События журнала Config
  • События журнала System
  • События журнала Hip-match
  • События журнала User ID
  • События журнала Tunnel inspection
  • События журнала Authentification
  • События журнала Correlated
 

События Check Point

  • События Identity Awareness
  • События Endpoint Security on demand
  • События SecureClient и Edge
  • События IPS
  • События AntiVirus
  • События AntiBot и AntiMalware
  • События Threat Emuliation
  • События AntiSpam
  • События URL Filtering
  • События Application Control
  • События DLP
  • События SmartDashboard
  • Собственное правило Check Point
  • Остальные события Check Point
 

События McAfee

  • Выявлена вредоносная программа
  • Выявлена Шпионская программа
  • Выявлена нежелательная программа
  • Выявлены прочие угрозы
  • Выявлена вирусная эпидемия
  • Журнал задач McAfee
  • Журнал аудита McAfee
  • Компьютеры с установленными агентами (Системы)

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними