```csvpreview {header="true"} Продукт,Имя правила,Описание,Дата последнего изменения,Связанные правила KUMA,[KUMA] Login Брутфорс,"Правило срабатывает на 5 неудачных попыток входа в течение 1 минуты. Используется в тандеме с правилом реагирования для блокировки IP источника на 180 секунд, с помощью iptables.",02.08.2023, Cisco,[Cisco] ASA Succesfull Bruteforce,"Created by Community User 50 неуспешных логинов и 1 успешный",17.07.2023, Fortigate,[Fortigate] Security Alert Localnet,"Created by Community User Сработка МЭ Fortigate на источник или назначение в локальной сети.",17.07.2023, Fortigate,[Fortigate] VPN Succesfull Bruteforce,"Created by Community User 50 неуспешных логинов и 1 успешный",17.07.2023, KEDRO,[KEDRO] IoC Detect ,Сработка по обнаружению по задаче поиска IOC,04.07.2023, CheckPoint,[CheckPoint] Сработка IPS,Сработка по обнаружению IPS модулю,04.07.2023, WatchGuard,[WatchGuard] IPS block - add to list,Добавление в лист источника по сработке IPS,04.07.2023, Windows,[Windows] Доступ к данным УЗ через ключи реестра,"Правило обнаруживает свидетельства доступа или сохранения к ключам реестра SAM, SYSTEM и SECURITY в ОС Windows.",26.06.2023, Windows,[Windows] Удаленное выполнение команд,Правило обнаруживает активности в командной строки по инструментам удаленного исполения команд в ОС Windows.,26.06.2023, Windows,[Windows] Активности BITS,"Правило обнаруживает активности в командной строки заданий BITS (Windows Background Intelligent Transfer Service) в ОС Windows. Задачи BITS могут использовать для загрузки, выполнения и даже очистки после запуска вредоносного кода.",26.06.2023, Windows,[Windows] Удаление теневой копии,Правило обнаруживает активности в командной строки использования утилит vssadmin и wmic в ОС Windows.,26.06.2023, Windows,[Windows] Изменение конфигурации загрузки,Правило обнаруживает изменения данных конфигурации загрузки в системе с bcdedit (игнорировать все ошибки загрузки и продолжать загрузку и отключение параметров восстановления для загрузочной записи) в ОС Windows.,26.06.2023, InfoWatch,[InfoWatch] Множественные запреты в течение 30 минут,Правило обнаруживает от 3 событий запрета DLP в течение 30 минут.,22.06.2023, InfoWatch,[InfoWatch] Обнаружена грифованная информация,Правило обнаруживает событие DLP с категорией - грифованная информация.,22.06.2023, InfoWatch,[InfoWatch] Обнаружена конфиденциальная информация,Правило обнаруживает событие DLP с категорией - конфиденциальная информация.,22.06.2023, InfoWatch,[InfoWatch] Обнаружены пароли,Правило обнаруживает событие DLP с категорией - пароли.,22.06.2023, InfoWatch,[InfoWatch] Обнаружены персональные данные (паспорт),Правило обнаруживает событие с не доверенными получателями DLP с категорией - персональные данные (паспорт).,22.06.2023, KSECU,[KSECU] Параметры сетевого интерфейса изменены,Правило обнаруживает событие Kaspersky Transportation Cybersecurity по изменению сетевого интерфейса. ,22.06.2023, KSECU,[KSECU] Изменение состояния USB,Правило обнаруживает событие Kaspersky Transportation Cybersecurity по изменению состояния USB. ,22.06.2023, KATA,[KATA] Сработка средства обнаружения вторжений (IDS),Алерт с KATA о сработке IDS правил.,16.06.2023, KATA,[KATA] Обнаружен вредоносный файла в веб-трафике,Алерт с KATA об обнаружении вредоносного файла в веб-трафике.,16.06.2023, KATA,[KATA] Обнаружена вредоносная ссылка в веб-трафике,Алерт с KATA об обнаружении вредоносной ссылки в веб-трафике.,16.06.2023, KATA,[KATA] Обнаружение вредоносного файла в письме,Алерт с KATA об обнаружении вредоносного файла в письме.,16.06.2023, KATA,[KATA] Обнаружение вредоносной ссылки в письме,Алерт с KATA об обнаружении вредоносной ссылки в письме.,16.06.2023, KATA,[KATA] Сработка YARA правила,Алерт с KATA о сработке YARA-правила.,16.06.2023, KEDR,[KEDR] Запуск процесса из не стандартной директории,Запуск процесса из нехарактерных директорий (по телеметрии EDR),16.06.2023, KEDR,[KEDR] Сработка правила IOA,Общая сработка правила IOA в KEDR.,16.06.2023, KICSN,[KICS Networks] Обнаружена подозрительная активность,Обнаружена подозрительная активность.,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Внешнее взаимодействие,Сработка модуля - Внешнее взаимодействие.,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Контроль процесса по правилам,Сработка модуля - Контроль процесса по правилам.,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Контроль системных команд,Сработка модуля - Контроль системных команд.,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Контроль целостности сети,Сработка модуля - Контроль целостности сети.,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Средства защиты АРМ,Сработка модуля - Средства защиты АРМ,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Средство обнаружения вторжений (IDS),Сработка модуля - Средство обнаружения вторжений (IDS).,16.06.2023, KICSN,[KICS Networks] Сработка модуля - Управление активами,Сработка модуля - Управление активами.,16.06.2023, KICSN,[KICS Networks] Сработка содержащая TI индикатор,Сработка содержащая TI индикатор.,16.06.2023, KICSN,[KICS Networks] - Неавторизованные команды на множесто хостов,Неавторизованные команды на множесто хостов.,16.06.2023, KICSN/Nodes,[KICS Networks + Nodes] Обнаружена возможная замена файла (SMB),Обнаружена возможная замена файла по протоколу SMB на хосте.,16.06.2023, KICSN/Nodes,[KICS Networks + Nodes + KES] Подозрительное поведение хоста,Обнаружена подозрительная активность в индустриальной сети.,16.06.2023,[KICS Networks] - Неавторизованные команды на множесто хостов KICSN+TI,[KICS Networks] Сработка содержащая TI индикатор,Сработка содержащая TI индикатор,16.06.2023, KSC,[KES] Отключена защита на хосте,Отключена защита на устройстве.,16.06.2023, KSC,"[KSC] Обнаружено ВПО, невозможно удалить","Неудачная попытка лечения или удаления вредоносного объекта. Срабатывает, когда событие типа «Вредоносное ПО удалено» не обнаружено в течение 5 минут после получения события «Вредоносное ПО обнаружено».",16.06.2023, KSC,[KSC] Обнаружено ВПО на множестве хостов (по хешу ВПО),Один и тот же вирус (по хэшу) был найден на 2+ хостах за 30 минут.,16.06.2023, KSC,[KSC] Обнаружено ВПО на множестве хостов (по имени ВПО),Один и тот же вирус (по имени) был найден на 2+ хостах за 30 минут.,16.06.2023, KSC,[KSC] Обнаружено не удаленное ВПО,"Неудачная попытка лечения, удаления или добавления в карантин вируса или зараженного файла. События, связанные с объектами типа ""not-a-virus"" исключены.",16.06.2023, KSE,[KSE] Обнаружена спам рассылка,Kaspersky Security for Exchange. Срабатывает если 30 и более пользователей получили письма с одной и той же темой от одного отправителя.,16.06.2023, KSE,[KSE] Обнаружено 30 или более вредоносов на 1 хосте (за 24 часа),Kaspersky Security for Exchange. Обнаружено 30 или более вредоносов на 1 хосте (за 24 часа),16.06.2023, KSE,[KSE] Обнаружено вирусное заражение (одна сигнатура на 5 хостах за 24 часа),Kaspersky Security for Exchange. Обнаружено вирусное заражение (одна сигнатура на 5 хостах за 24 часа).,16.06.2023, KSMG,[KSMG] Письмо внешнего отправителя заблокировано,"Письмо от внешнего отправителя заблокировано. Необходимо добавить домены своей компании в селекторах в фильтре [Filter] Message From External Sender.",16.06.2023, KSMG,[KSMG] Обнаружено вредоносное письмо,Вредоносное письмо удалено,16.06.2023, KSMG,[KSMG] Получено письмо от подозрительного отправителя,"Письмо получено от подозрительного отправителя. Предварительно необходимо заполнить активный лист Suspicious Email Addresses.",16.06.2023, KUMA,[KUMA] Изменение состояния коллектора на красный,"Коллектор изменил состояние на red, как следствие отсутствие событий с коллектора.",16.06.2023, KUMA,[KUMA] Нет событий от источника (Мониторинг источников),"Сработка политики мониторинга по отсутствию событый с источника. Необходимо создать политику и изменить в правиле имя политики. Условие политики мониторинга можно убрать совсем, тогда правило будет срабатывать на нарушение всех политик мониторинга, а не одной конкретной.",16.06.2023, KUMA,[KUMA] Нет событий от коллектора,Отсутствие событий с коллектора. Необходимо явно указать UUID активного листа [KUMA] Collectors.,16.06.2023,[KUMA] Add collector to AL (Operational) KUMA,[KUMA] Обнаружен актив с уязвимостями,Сработка на основе аудита активов,16.06.2023, KUMA,[KUMA] Добавление в активный лист коллектора (Operational),"Добавление имени и идентификатора сервиса коллектора, с которого есть события.",16.06.2023, KWTS,[KWTS] Множественные блокировки по множеству URL,"Срабатывает при обнаружении не менее, чем 5 блокировок веб-трафика от одного хоста на 5 уникальных URL в пределах 10 минут.",16.06.2023, KWTS,[KWTS] Множественные блокировки на один URL,"Срабатывает при обнаружении не менее, чем 5 блокировок веб-трафика c разных хостов на один URL в пределах 10 минут.",16.06.2023, KWTS/KSC,[KWTS + KSC] Обнаружено ВПО -> Заблокированы URL,"Обнаружено ВПО, затем в течение 30 минут с того же хоста обнаружено 5 блокированных обращений на URL",16.06.2023,[KWTS] Множественные блокировки по множеству URL KWTS/KSC,[KWTS + KSC] Обнаружено ВПО -> Заблокирован URL,"Обнаружено ВПО, затем в течение 30 минут с того же хоста обнаружено 1 блокированное обращений на URL",16.06.2023, KWTS/KSC,[KWTS + KSC] Заблокированы URL -> Обнаружено ВПО,"5 блокированных обращений на различные URL, а затем в течение 30 минут на этом же хосте обнаружен вирус.",16.06.2023,[KWTS] Множественные блокировки по множеству URL UserGate,[UserGate] Обнаружены попытки обхода прокси,Обнаружение 5 уникальных обращений к ресурсам типа Anonymizer одним пользователем,16.06.2023, UserGate,[UserGate] Обнаружено использование мессенджеров,Обнаружение использования мессенджеров пользователем,16.06.2023, UserGate+TI,[UserGate] Accepted Connection with TI,Обнаружено разрешенное соединение на вредоносный ресурс (TI),16.06.2023, Ngate,[NGate] Flood (Access denied),Обнаружен запрет доступа (в правиле защита от флуда),16.06.2023, Ngate,[NGate] Non Working time user connection,Подключение пользователя в нерабочее время (с 20:00 до 03:00),16.06.2023, Ngate,[NGate] VPN same User and different srcIPs,Подключение одного пользователя с разных адресов,16.06.2023,[NGate] VPN same User and different srcIP (operational) Ngate,[NGate] VPN same User and different srcIP (operational),Занесение в активный лист пользователя и адреса с которого произошло подключение,16.06.2023, Ngate,[NGate] VPN same srcIP and different Users,Подключение разных пользователей с одного адреса,16.06.2023,[NGate] VPN same srcIP and different User (operational) Ngate,[NGate] VPN same srcIP and different User (operational),Занесение в активный лист пользователя и адреса с которого произошло подключение,16.06.2023, Windows,[Windows] Обнаружен вызов Hacktool,Обнаружен запуск хакерской утилиты из списка,16.06.2023, Windows,[Windows] Обнаружен интерактивный вход с сервисной учеткой,"Обнаружен интерактивный вход под сервисной учетной записью. Необходимо наполнить [Filter] Windows Service Accounts",16.06.2023, Windows,[Windows] Обнаружение активностей разведки 1,"Правило обнаруживает свидетельства выполнения от 3 команд, характерных для разведки на узлах с ОС Windows в течение 10 мин ==== Примечание 1: добавить в исключения админские УЗ Примечание 2: считаю, что добавление условий по ""Process CommandLine содержит"" избыточно, так как с данным набором команд и условием 3 различных команды не должно быть много false-positive в типичной инфраструктуре. Добавлять конкретику в условия рекомендуем после тестирования и анализа количества false-positive",16.06.2023, Windows,[Windows] Обнаружение активностей разведки 2,"Правило обнаруживает свидетельства выполнения от 3 команд, характерных для разведки на узлах с ОС Windows в течение 10 мин ==== Примечание 1: добавить в исключения админские УЗ",16.06.2023, General,[General] Обращение к домену 3-го уровня и выше,"Правило обнаруживает доменные имена 3 и более уровней (вложенности) на любом языке. Предварительно нужно настроить значение DeviceVendor в селекторе.",16.06.2023, General,[General] Обнаружено сканирование портов (Горизонтальное),Правило обнаруживает перебор различных 30 хостов по одному порту в течение 60 сек.,16.06.2023, General,[General] Обнаружено сканирование портов (Вертикальное),Правило обнаруживает перебор различных 30 портов по одному хосту в течение 60 сек.,16.06.2023, General,[General] Запуск потенциального ВПО (на основе имени файла),Запуск файла с подозрительным именем (проверка фильтром по более 700 регулярным выражениям),16.06.2023, General,[General] Изменение состояния порта коммутатора (сохранение предыдущего значения в лист),"Правило мониторит [сохраняет значение в лист] состояние интерфейсов коммутатора (предварительно необходимо чтобы состояние было в поле Extra) Необходимо заменить в селекторе SWITCH-NAME на название коммутатора из событий и настроить парсинг состояния портов согласно правилу.",16.06.2023, General,[General] Изменение состояния порта коммутатора (сравнение с предыдущим значением),"Правило мониторит состояние интерфейсов коммутатора (предварительно необходимо чтобы состояние было в поле Extra) и сравнивает их с листом Необходимо заменить в селекторе SWITCH-NAME",16.06.2023,[General] Изменение состояния порта коммутатора (сохранение предыдущего значения в лист) General,[General] Разделение почтовых ящиков (Шаг 1),"Правило ""выкусывает"" адреса электронной почты из списка (с разделителем ;) и помещает в отдельное поле.",16.06.2023,[General] Разделение почтовых ящиков (Шаг 2) General,[General] Разделение почтовых ящиков (Шаг 2),"Просто перенаправляет событие в Loop, меняя ID корреляционного правила.",16.06.2023, Linux,[Linux] Обнаружена новая задача в Cron,"Обнаружена новая задача Cron, ранее не встречавшаяся в организации.",16.06.2023,[Linux] Add Сron Task (operational) Linux,[Linux] Добавлена Сron задача (operational),"Правило добавляет в лист выполняемые команды из планировщика cron c привязкой к хосту. Для обучения в течение 2 недель, далее Выключить!",16.06.2023, Linux,[Linux] Audit Log Cleared,Обнаружена очистка логов Linux. Получение пользователя из AL.,16.06.2023,[Linux] Очистка Audit Log (operational) Linux,[Linux] Audit Log Cleared (operational),Правило добавляет в лист пользователя выполневшего команды удаления логов с ключом id события (DeviceExternalID).,16.06.2023, Linux,[Linux] Изменение Audit правил,Правило обнаруживает изменения в настройках (правилах) демона аудита auditd.,16.06.2023, Linux,[Linux] Обнаружен успешный брутфорс,Правило обнаруживает события успешного входа в систему после большого количества неудачных попыток авторизации от 10.,16.06.2023,[Linux] Обнаружена попытка брутфорса Linux,[Linux] Обнаружена попытка брутфорса,Правило обнаруживает события неудачных попыток авторизации от 10.,16.06.2023, Linux,[Linux] Старт Сессии (ssh and local) (operational),"Правило добавляет в лист данные по машине (ключ) и другие данные по открытию сессии. Пример записи - номер_сессии(AUID,auid,isRoot,logonType): 361(dmitry1,1002,not-root,local);",16.06.2023, Linux,[Linux] Конец Сессии (ssh and local) (operational),Правило удаляет из листа данные по пользователю по закрытию сессии.,16.06.2023, Linux,[Linux] Старт Сессии (su) (operational),"Правило добавляет в лист данные (суперпользователь) по машине (ключ) и другие данные по открытию сессии. Пример записи - номер_сессии(AUID,auid,isRoot,logonType): 361(dmitry1,1002,not-root,local);",16.06.2023, Linux,[Linux] Конец Сессии (su) (operational),Правило удаляет из листа данные (суперпользователь) по закрытию сессии.,16.06.2023, Linux,[Linux] Перезагрузка системы,Правило обнаруживает активных пользователей системы на момент перезагрузки.,16.06.2023, Linux,[Linux] Множественные подключения с хоста по SSH ко многим,"Подключение по SSH с одного хоста на множества хостов. 15 разных подключений на DeviceHostName за 10 минут.",16.06.2023, Linux,[Linux] Вызов Hacktool,"Обнаружен запуск процесса, связанного со списком хакерских утилит",16.06.2023,[Linux] Вызов Linux Hacktool (operational) Linux,[Linux] Вызов Linux Hacktool (operational),Правило добавляет в лист пользователя выполневшего подозрительные команды (хакерских утилит) с ключом id события (DeviceExternalID).,16.06.2023, Linux,[Linux] Обнаружение множества активностей разведки,Обнаружение 3 различных процессов разведки для в течение 10 мин.,16.06.2023,[Linux] Обнаружение активностей разведки (subCorr) Linux,[Linux] Обнаружение активностей разведки (subCorr),Единичная сработка активностей разведки.,16.06.2023,[Linux] Обнаружение активностей разведки (operational) Linux,[Linux] Обнаружение активностей разведки (operational),Правило добавляет в лист пользователя выполневшего команды разведки с ключом id события (DeviceExternalID).,16.06.2023, Linux,[Linux] Подозрение на Rootkit,"Подозрение на rootkit - обращение к /etc/ld.so.preload key=writed",16.06.2023, Linux,[Linux] Подозрительный множественный вход,"Правило обнаруживает события успешного входа в систему после большого количества неудачных попыток авторизации (>10) в течение 5 мин. Возможно задать исключения в селекторе.",16.06.2023, Linux,[Linux] Удаленный вход под учетной записью root,"Улучшение R003_01_Remote SSH connection with root account on Linux Добавлено исключение повторных сработок через ActiveList по составному ключу (DeviceHostName + SourceAddress + SourceUserName). Сработки на удаленный вход регистрируются 1 раз в сутки. Добавлен USER_ACCT, добавлен EventOutcome=success",16.06.2023, Linux/SIGMA,"[T,I] Loading of Kernel Module via Insmod","Detects loading of kernel modules with insmod command. Loadable Kernel Modules (LKMs) are pieces of code that can be loaded and unloaded into the kernel upon demand. Adversaries may use LKMs to obtain persistence within the system or elevate the privileges. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_load_module_insmod.yml ",16.06.2023, Linux/SIGMA,"[T,I,E] Bpfdoor TCP Ports Redirect","All TCP traffic on particular port from attacker is routed to different port. ex. '/sbin/iptables -t nat -D PREROUTING -p tcp -s 192.168.1.1 --dport 22 -j REDIRECT --to-ports 42392' The traffic looks like encrypted SSH communications going to TCP port 22, but in reality is being directed to the shell port once it hits the iptables rule for the attacker host only. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_bpfdoor_port_redirect.yml ",16.06.2023, Linux/SIGMA,"[T,I] Auditing Configuration Changes on Linux Host","Detect changes in auditd configuration files https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_auditing_config_change.yml ",16.06.2023, Linux/SIGMA,"[T,I] BPFDoor Abnormal Process ID or Lock File Accessed","Detects BPFDoor .lock and .pid files access in temporary file storage facility https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_bpfdoor_file_accessed.yml ",16.06.2023, Linux/SIGMA,"[T,I] Binary Padding - Linux","Adversaries may use binary padding to add junk data and change the on-disk representation of malware. This rule detect using dd and truncate to add a junk data to file. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_binary_padding.yml ",16.06.2023, Linux/SIGMA,"[T,I] Suspicious Commands","Detects relevant commands often related to malware or hacking activity https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_susp_cmds.yml ",16.06.2023, Linux/SIGMA,"[T,I] Creation Of An User Account - ADD_USER","Detects the creation of a new user account. Such accounts may be used for persistence that do not require persistent remote access tools to be deployed on the system. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_create_account.yml ",16.06.2023, Linux/SIGMA,"[T,I] Creation Of An User Account - SYSCALL","Detects the creation of a new user account. Such accounts may be used for persistence that do not require persistent remote access tools to be deployed on the system. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_create_account.yml ",16.06.2023, Linux/SIGMA,"[T,I] Credentials In Files","Detecting attempts to extract passwords with grep https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_find_cred_in_files.yml ",16.06.2023, Linux/SIGMA,"[T,I] Data Compressed","An adversary may compress data (e.g., sensitive documents) that is collected prior to exfiltration in order to make it portable and minimize the amount of data sent over the network. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_data_compressed.yml ",16.06.2023, Linux/SIGMA,"[T,I] Data Exfiltration with Wget","Detects attempts to post the file with the usage of wget utility. The adversary can bypass the permission restriction with the misconfigured sudo permission for wget utility which could allow them to read files like /etc/shadow. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_data_exfil_wget.yml ",16.06.2023, Linux/SIGMA,"[T,I] Disable System Firewall","Detects disabling of system firewalls which could be used by adversaries to bypass controls that limit usage of the network. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_disable_system_firewall.yml",16.06.2023, Linux/SIGMA,"[T,I] File Time Attribute Change","Detect file time attribute change to hide new or changes to existing files. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_change_file_time_attr.yml ",16.06.2023, Linux/SIGMA,"[T,I] File or Folder Permissions Change","Detects file and folder permission changes. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_file_or_folder_permissions.yml ",16.06.2023, Linux/SIGMA,"[T,I] Linux Capabilities Discovery","Detects attempts to discover the files with setuid/setgid capability on them. That would allow adversary to escalate their privileges. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_capabilities_discovery.yml ",16.06.2023, Linux/SIGMA,"[T,I] Network Service Scanning","Detects enumeration of local or remote network services. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_network_service_scanning.yml ",16.06.2023, Linux/SIGMA,"[T,I] Logging Configuration Changes on Host","Detect changes of syslog daemons configuration files https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_logging_config_change.yml ",16.06.2023, Linux/SIGMA,"[T,I] Masquerading as Linux Crond Process","Masquerading occurs when the name or location of an executable, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. Several different variations of this technique have been observed. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_masquerading_crond.yml ",16.06.2023, Linux/SIGMA,"[T,I] Modification of ld.so.preload","Identifies modification of ld.so.preload for shared object injection. This technique is used by attackers to load arbitrary code into processes. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_ld_so_preload_mod.yml ",16.06.2023, Linux/SIGMA,"[T,I] Modify System Firewall","Detects the removal of system firewall rules. Adversaries may only delete or modify a specific system firewall rule to bypass controls limiting network usage or access. Detection rules that match only on the disabling of firewalls will miss this. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_modify_system_firewall.yml ",16.06.2023, Linux/SIGMA,"[T,I] Network Sniffing","Network sniffing refers to using the network interface on a system to monitor or capture information sent over a wired or wireless connection. An adversary may place a network interface into promiscuous mode to passively access data in transit over the network, or use span ports to capture a larger amount of data. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_network_sniffing.yml ",16.06.2023, Linux/SIGMA,"[T,I] Overwriting the File with Dev Zero or Null","Detects overwriting (effectively wiping/deleting) of a file. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_dd_delete_file.yml ",16.06.2023, Linux/SIGMA,"[T,I] Password Policy Discovery - EXECVE","Detects password policy discovery commands https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_password_policy_discovery.yml ",16.06.2023, Linux/SIGMA,"[T,I] Password Policy Discovery - PATH","Detects password policy discovery commands https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_password_policy_discovery.yml ",16.06.2023, Linux/SIGMA,"[T,I] Program Executions in Suspicious Folders","Detects program executions in suspicious non-program folders related to malware or hacking activity https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_susp_exe_folders.yml ",16.06.2023, Linux/SIGMA,"[T,I] Remove Immutable File Attribute","Detects removing immutable file attribute https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_chattr_immutable_removal.yml ",16.06.2023, Linux/SIGMA,"[T,I] Split A File Into Pieces","Detection use of the command ""split"" to split files into parts and possible transfer. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_split_file_into_pieces.yml ",16.06.2023, Linux/SIGMA,"[T,I] Steganography Unzip Hidden Information From Picture File","Detects extracting of zip file from image file https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_unzip_hidden_zip_files_steganography.yml ",16.06.2023, Linux/SIGMA,"[T,I] Suspicious C2 Activities","!Depends on https://github.com/Neo23x0/auditd Detects suspicious activities as declared by Florian Roth in its 'Best Practice Auditd Configuration'. This includes the detection of the following commands; wget, curl, base64, nc, netcat, ncat, ssh, socat, wireshark, rawshark, rdesktop, nmap. These commands match a few techniques from the tactics ""Command and Control"", including not exhaustively the following; Application Layer Protocol (T1071), Non-Application Layer Protocol (T1095), Data Encoding (T1132) https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_susp_c2_commands.yml ",16.06.2023, Linux/SIGMA,"[T,I] Suspicious History File Operations","Detects commandline operations on shell history files https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_susp_histfile_operations.yml ",16.06.2023, Linux/SIGMA,"[T,I] System Owner or User Discovery","Adversaries may use the information from System Owner/User Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_user_discovery.yml ",16.06.2023, Linux/SIGMA,"[T,I] Systemd Service Creation","Detects a creation of systemd services which could be used by adversaries to execute malicious code. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_systemd_service_creation.yml ",16.06.2023, Linux/SIGMA,"[T,I] Systemd Service Reload or Start","Detects a reload or a start of a service. https://github.com/SigmaHQ/sigma/blob/master/rules/linux/auditd/lnx_auditd_pers_systemd_reload.yml ",16.06.2023, KSC,[KSC] Ошибки обновления KSC,Ошибки обновления KSC.,16.06.2023, Windows,[Windows] Создана поддельная учетная запись компьютера,"Детект создания учетки, оканчивающейся на $, событием 4720, а не 4741",16.06.2023, Windows,[Windows] Системное время было изменено,Системное время было изменено,16.06.2023, Windows,[Windows] Включение пользователя в критичную группу,"Включение пользователя в критичную группу на основе SID. Если пользователь не в AL (Windows administrator accounts, IDM accounts). https://learn.microsoft.com/en-US/windows-server/identity/ad-ds/manage/understand-security-identifiers",16.06.2023, Windows,[Windows] Включение системных учетных записей,Включение системных (стандартных) учетных записей.,16.06.2023, Windows,[Windows] Множетвенные манипуляции с паролями критичных учетных записей за короткий промежуток времени ,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Многократные попытки сбросить пароль учетной записи критического пользователя,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Многократные попытки сбросить пароль учетной записи критического пользователя,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Множетвенные манипуляции с паролями критичных учетных записей за короткий промежуток времени,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Учетная запись критического пользователя была включена,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Учетная запись критического пользователя была многократно изменена,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Учетная запись критического пользователя была отключена,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Учетная запись критического пользователя была удалена,Необходимо наполнить активный лист [Windows] Критичные пользователи,16.06.2023, Windows,[Windows] Ошибка применения групповых политик (GPO),Ошибка применения групповых политик (GPO) на основе Event ID.,16.06.2023, Windows,[Windows] Маскировка под легитимный процесс,Запуск системных утилит из нестандартных папок. Необходима перепроверка маппинга в парсинге.,16.06.2023, Windows,[Windows] Создание учетной записи и вход под ней в течение 15 минут,Создание учетной записи и вход под ней в течение 15 минут,16.06.2023, Windows,[Windows] Успешное изменение привилегий доступа на директориях и файлах,Успешное изменение привилегий доступа на директориях и файлах на основе Event ID.,16.06.2023, Windows,[Windows] Cоздание пользователя в нерабочее время,Событие создания пользователя в нерабочее время (с 19 часов до 8 часов),, ```