В поставку KUMA включены перечисленные в таблице ниже правила корреляции.
Предустановленные правила корреляции
Название правила корреляции |
Описание |
[OOTB] KATA alert |
Используется для обогащения событий KATA. |
[OOTB] Successful Bruteforce |
Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd. |
[OOTB][AD] Account created and deleted within a short period of time |
Выявляет факты создания и последующего удаления учётных записей на хостах на базе ОС Microsoft Windows. |
[OOTB][AD] An account failed to log on from different hosts |
Выявляет множественные неуспешные попытки аутентификации на различных хостах. |
[OOTB][AD] Granted TGS without TGT (Golden Ticket) |
Выявляет подозрения на атаку типа "Golden Ticket". Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD][Technical] 4768. TGT Requested |
Техническое правило, используется для формирования активного списка – [OOTB][AD] List of requested TGT. EventID 4768. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] Membership of sensitive group was modified |
Работает на базе событий ОС Microsoft Windows. |
[OOTB][AD] Multiple accounts failed to log on from the same host |
Срабатывает после выявления множественных неуспешных попыток аутентификации на одном хосте от имени разных учётных записей. |
[OOTB][AD] Possible Kerberoasting attack |
Выявляет подозрения на атаки типа "Kerberoasting". Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] Successful authentication with the same account on multiple hosts |
Выявляет подключения на разные хосты под одной учётной записью. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] The account added and deleted from the group in a short period of time |
Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][Net] Possible port scan |
Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix. |