Кейсы SIEM

Обсуждение на форуме Клуба
Источник https://rusiem.com

Категория Кейс
Аутентификация и авторизацияПревышение числа указанного числа попыток неуспешного доступа
Вход под учетной записью после многочисленных неуспешных попыток
Попытки подбора пароля для критичных учетных записей
Блокирование учетной записи после многочисленных неуспешных попыток
Блокирование критичной/сервисной учетной записи по превышению лимита неудачных входов
Неуспешные входы в одну и ту же систему с одной и той же учетной записью
Неуспешные попытки доступа в различные системы с одной и той же учетной записью
Интерактивный вход под служебной учетной записью
Выполнение runas/sudo из под учетной записи не входящей в доверенный список
Аналитика: выполнение runas/sudo из под учетной записи, с которой данная операция не выполнялась
Аналитика: вход под учетной записью с хоста, с которого ранее не входили с данным логином
Аналитика: вход в OWA/приложение с хоста, под которым не было ранее логина
Попытки входа под несуществующей учетной записью
Попытки входа под заблокированной учетной записью
Неудачные попытки входа с одного и того же хоста под более чем 10 разными логинами
Удаленный/интерактивный вход на критичные ассеты под учетными записями не перечисленные в указанном списке
Интерактивный вход на сервера
Вход с другого домена
WiFiМногочисленные неуспешные попытки авторизации на точке доступа
Многочисленные сброшенные соединения, свидетельствующие о перехвате хешей аутентификации
Файловый доступМногочисленные неуспешные попытки получения доступа к файлам/директориям
Попытки получения прав доступа путем повышения привилегий
Успешное изменение привилегий доступа на директориях и файлах
Успешное изменение привилегий после неудачных попыток доступа
Изменение параметров аудита на критичных директориях
Неуспешные многочисленные попытки изменения прав доступа на директориях
Массовое успешное изменение прав доступа на директориях
Массовое удаление/изменение файлов
Аудит доступа к критичным директориям на файловом сервере
MalwareВозникновение одного и того же вируса на 5 и более хостах в течение 30 минут
Повторное возникновение вируса на хосте после успешного лечения/карантина/удаления в течение одного часа
Обнаружение вируса и отсуствие событий об успешном лечении/удалении/карантине его в течение 15 минут
Антивирусное ПООшибки обновления сигнатур на хостах и управляющем сервере
Ошибки запуска компонентов антивирусного ПО
Ошибки в работе антивирусного ПО
Ошибки получения политик клиентскими хостами
Отключение антивирусного ПО на клиентах/с управляющего сервера
Изменение параметров антивирусного ПО на клиентах/управляющем сервере пользователями не входящими в указанный список
Обнаружение хостов, не подключавшихся к управляющему серверу более заданного интервала
Управление учетными записями и группамиизменение учетных записей пользователями, не входящими в доверенную группу
создание учетных записей пользователями, не входящими в доверенную группу
изменение учетных записей и групп вне рабочего времени
изменение привилегированных учетных записей
изменение сервисных учетных записей
попытки неуспешного создания учетных записей и групп
Создание учетной записи и вход под ней в течение 15 минут.
разблокирование учетной записи и вход под ней в течение 15 минут
включение пользователя в группу локальных администраторов
включение пользователя в группу доменных администраторов
вход по системной учетной записью «Администрато/Administrator» в нерабочие часы
Включение в группу wheel
Массовое изменение учетных записей и групп
Управление учетными записями и группами в другом домене
Удаленный доступуспешные попытки доступа из внешних сетей
Успешный доступ из внешних сетей в нерабочее время
интерактивный вход под привилегированными учетными записями в нерабочие часы
доступ из внешних сетей к внутренним (NAT,проброс соединений)
Антивирусное ПОотключение AV защиты из за ошибок антивирусного ПО на клиенте
необновленные AV базы давностью более 1 месяца
массовая вирусная эпидемия: более 5 хостов инфицировано вирусом в течение 10 мин
невылеченный вирус: вирус обнаружен, но не вылечен, не удален и не помещен на карантин
вирусная таргетированная атака: вирус на одном и том же хосте появляется более 3х раз в течение 30 мин
Один и тот же вирус на нескольких хостах в течение 3х часов
Обнаружение хостов с неустановленным антивирусным ПО
Гипервизоры и виртуальные средымассовая остановка VM
клонирование критичных VM
включение пользователя в группу администраторов ESX
включение пользователя в группу wheel/Администраторов в ОС гипервизора
Конвертирование в шаблон критичных VM
Изменение параметров критичных VM пользователями не из списка
Изменение параметров гипервизоров пользователями не из списка
Подключение и отключение datastore пользователями не из списка
Копирование виртуальных машин с гипервизора
СКУДМногочисленные проходы в одну сторону по одному и тому же пропуску
Скопление лиц в ночное время
Потеря соединения с камерами
Краш приложения видеонаблюдения
Выгрузка архива видеонаблюдения
Доступ к архиву видеонаблюдения
Снятие с охраны помещения в нерабочие часы, а затем проход в него
Многократные попытки доступа в различные, либо одно помещение в течение 45 минут
Изменение доступа пропуска под учетной записью не из указанного списка
Изменение доступа пропуска в нерабочее время
Заведение нового пропуска, вход под ним и удаление из базы в течение 2х часов
Аналитика: доступ в помещение под пропусками, под которыми ранее не было входа
Многочисленные проходы в различные помещения под одним и тем же пропуском
Доступ в критичное помещение сотрудников не из указанного списка
Policy/Standard ComplianceВключение опции Password Never Expire
Отключение средств и механизмов защиты
Вход под служебными учетными записями
Включение системных учетных записей (guest etc)
Разрешение promiscous mode в конфигурациях виртуального и сетевого оборудования
Очистка журналов событий
Отключение/изменение аудита в ОС и сетевом оборудовании
Обнаружение использования транспортов и методов не стойкому ко взлому/деаутентификации/прослушиванию
Использование самоподписанных сертификатов на критичных ассетах
Использование механизмов аутентификации отличныз от разрешенных (например: парольная вместо по ключам)
Контроль межзонных соединений (DMZ to Internet, Test zone - Production etc)
Выявление использования облачных сервисов
Выявление несанкционированного использования средств удаленного администрирования
Обнаружение служб телеметрии Windows
Сбои в работе инфраструктурыMS Windows: Незапланированное отключение ОС в результате сбоя или BSOD
Перегрев оборудования
Ошибки RAID массивов
Недостаточное место на диске
Выявление массовых неудачных попыток аутентификации в результате сбоев
Многочисленные ошибки подключения к ассетам
Ошибки выделения IP адресов
Аналитика: Выявление частых широковещательных запросов и шумов в инфраструктуре
DHCP - многочисленные ошибки выдачи адресов
DHCP - обнаружение других DHCP серверов
Сетевые соединенияПревышение допустимого числа запрещенных МЭ соединений
Превышение допустимого числа сброшенных соединений
Превышение допустимого числа неустановленных соединений
Многочисленные попытки соединения с множеством хостов
Обнаружение трафика на нестандартных портах
Обнаружение трафика не соответствующего профилю
Аналитика: анализ по baseline траффика по любым двум параметрам (src.ip-dst.ip/src.ip-dst.port etc)
ФидыПолучение с помощью агента sha1/md5 контрольных сумм запущенных процессов, используемых ими библиотек и сверка с фид-листами
Определение входящих соединений с опасных хостов (сканеры, С&C etc) по fqdn
Определение входящих соединений с опасных хостов (сканеры, С&C etc) по src.ip
Определение опасных исходящих соединений (malware, C&C, file cloud) по fqdn
Определение опасных исходящих соединений (malware, C&C, file cloud) по url
Обнаружение соединений TOR сети
Обнаружение соединений анонимных прокси
Контроль по белым/черным списком
Web application attacksОпределение SQLi по общим паттернам
Обнаружение XSS server-side по общим паттернам
Обнаружение многочисленных 400х/500х ответов одному и тому же хосту
Обнаружение попыток выполнения органиченных запросов/транзакций без аутентификации
Сверка отдаваемых данных по паттернам
Интеграция с WAF и блокирование src.ip в случае обнаружения аномалии и атаки
Обнаружение веб-атак по паттернам
Попытки получения критичных файлов через web по паттернам (passwd/sudoers/confs etc)
Сетевые атакиОбнаружение веб-сканеров по фингерпринту
Обнаружение веб-сканеров по useragent
Обнаружение сканеров по последовательностям/флагам/паттернам
SYN-flood (количество пакетов syn превышает 500-1000 в сек)
Множественные ответы с “seq 0” в единицу времени
Обнаружение сетевых атак с помощью паттернов/флагов/анализа протоколов
Эскалация прав доступаДобавление в критичные группы доступа пользователей
Изменение групп и учетных записей пользователями не из списка
Изменение групп и учетных записей в нерабочее время
Изменение файла sudoers
Сброс пароля на критичных учетных записях из указанного списка
Интернет-магазины/порталыНедооформленные покупки в интернет-магазине
Ошибки веб-приложений
Доступ к консоли администратора
Тайм-аут от бэк-енда
Аналитика: изменение хэшей файлов на фронт-энде
Аналитика: не типовой GET запрос
Аналитика: не типовой POST запрос
Аналитика: обращение по url которого еще не было
Манипуляции со временемНекорректно выставленное время на источнике
Изменение системного времени в ОС пользователем
АгентМногочисленные ошибки доступа к источнику (нет прав)
Ошибка подключения к источнику: не найден путь
Сбор и сохранение журналов событий локально с сохранением целостности при отсутствии связи с управляющим сервером
Аномалии и ошибкиОшибка загрузки/применения обновлений
Запуск службы/приложений под привилегированными/служебными учетными записями
Ошибки приложений
Sigterm/sigfault ошибки
Конфликт ip адресов
Ошибки применения групповых политик (GPO)
Ошибки бекапа конфигураций
Ошибки бекапа данных
Установка обновлений и ПООбнаружение установки обновлений ОС на критичных ассетах
Обнаружение установки ПО на критичных ассетах
Обнаружение установки запрещенного ПО из указанного списка
Потенциально опасные действияЗапуск процессов из не системных директорий
Удаление файлов в системных директориях
Перевод интерфейса в promiscous mode
Определение hack-tools по именам приложений
Определение hack-tools по хэшам
Определение сканеров уязвимостей по фингерпринту
Определение сканеров уязвимостей по useragent
Обнаружение сканеров уязвимостей и hack-tools по последовательностям
Использование потенциально опасных сервисов без шифрования/со слабым шифрованием
Добавление объектов автозапуска в OS Windows
Запуск исполняемых файлов со съемных накопителей
Обнаружение использования уязвимых веб-браузеров по useragent/заголовкам
Обнаружение попыток отключения критически важных служб для работы ОС
Обнаружение выполнения потенциально опасных команд на сетевом оборудовании
Обнаружение выполнения потенциально опасных команд в ОС (повышение привилегий, эксплуатация уязвимостей и так далее)
Контроль доступа к критичным хостам по ограниченному списку ip/имен пользователей
Обнаружение средств/ПО удаленного администрирования
Контроль целостности и приложенийАналитика: процесс которого больше нет на ассетах
Аналитика: процесс по хэшу, отличного от хэша таких же процессов на других ассетах
Аналитика: открываемый/запущенный файл по хэшу, детектированный как вирус на других ассетах
Аналитика: анализ запускаемого приложения по белому списку хэшей
Базы данныхВход под служебными учетными записями
Дамп/выгрузка данных из БД
Аналитика: многочисленные запросы вне baseline для данного хоста/пользователя
Создание процедур/таблиц/функций пользователями, не входящими в указанный список
Съемные накопителиПодключение съемных накопителей к серверам
Аналитика: Подключение съемных накопителей, которые ранее не подключались
Портативные и мобильные устройстваПодключение сетевых устройств к рабочим станциям и серверам (wifi/bluetooth)
Обнаружение несанкционированных сетей и маршрутов
Аудит: прочееАудит печати на принтере с уведомлением о превышении заданного печатемого числа страниц
Многочисленные входы с различных и на различные хосты под одной и той же учетной записью
Почтовые сервераАудит изменения параметров и конфигурации почтового сервера
Аудит изменения параметров, конфигурации и прав доступа почтовых ящиков и общих папок
Выявление подключений к почтовым ящикам пользователей
Выявление фактов несанкционированного доступа к почтовым ящикам руководства при добавлении прав доступа
Выявление фактов несанкционированного доступа к почтовым ящикам руководства путем копирования входящей/исходящей корреспонденции
Электронная почтаВыявление массовых рассылок
Выявление несоответствий fqdn и домена отправителя
Выявление smtp серверов вне доменов (спамеры)
Обнаружения попыток подбора валидных электронных адресов компании
Обнаружение попыток подбора учетных записей через smtp/imap/pop/owa
Обнаружение повторных попыток отправки таргетированных вложений с ранее детектируемых адресов/хостов
Выявление использования внешних не_корпоративных почтовых серверов и сервисов
Многочисленные ошибки отправки/получения почты по нескольким ip/пользователям или одному
Обнаружение попыток использования smtp relay
DNS ServiceОбнаружение использования внешних DNS серверов напрямую
Многочисленные рекурсивные запросы
Многочисленные запросы несушествующих доменных имен/ptr
Аномально частые запросы