Название правила корреляции

Описание

[OOTB] KATA alert

Используется для обогащения событий KATA.

[OOTB] Successful Bruteforce

Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd.

[OOTB][AD] Account created and deleted within a short period

Выявляет факты создания и последующего удаления учетных записей на устройствах на базе ОС Microsoft Windows.

[OOTB][AD] An account failed to log on from different hosts

Выявляет множественные неуспешные попытки аутентификации на различных устройствах.

[OOTB][AD] Granted TGS without TGT (Golden Ticket)

Выявляет подозрения на атаку типа Golden Ticket. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD][Technical] 4768. TGT Requested

Техническое правило, используется для формирования активного списка – [OOTB][AD] List of requested TGT. EventID 4768. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Membership of sensitive group was modified

Работает на базе событий ОС Microsoft Windows.

[OOTB][AD] Multiple accounts failed to log on from the same host

Срабатывает после выявления множественных неуспешных попыток аутентификации на одном устройстве от имени разных учетных записей.

[OOTB][AD] Possible Kerberoasting attack

Выявляет подозрения на атаки типа Kerberoasting. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Successful authentication with the same account on multiple hosts

Выявляет подключения на разных устройствах под одной учетной записью. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] The account added and deleted from the group in a short period

Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][Net] Possible port scan

Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix.