Группы сигнатур
В статье описаны группы сигнатур и история их изменений.
Last updated
Was this helpful?
В статье описаны группы сигнатур и история их изменений.
Last updated
Was this helpful?
На вкладке Группы сигнатур доступны для просмотра предустановленные и пользовательские группы правил системы Предотвращения вторжений, распределенные по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак):
Чтобы увидеть сигнатуры, входящие в группу, нажмите на . Чтобы увидеть содержание сигнатуры, наведите курсор мыши на SID:
DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL;
GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases;
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными центрами злоумышленников (C2);
Авторизация с подозрительным логином;
Анонимайзеры - обнаруживает/блокирует анонимайзеры;
Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя;
Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора;
Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны;
Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation);
Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию;
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привилегии пользователя;
Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия);
Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE);
Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию;
Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными центрами злоумышленников (C2);
Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (C2);
Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО;
Неизвестный тип трафика - обнаруживает/блокирует неопознанный/вредоносный трафик;
Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегитимных целях;
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам;
Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети;
Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам;
Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных;
Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей;
Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов;
Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы;
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично брутфорс-атакам);
Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека";
Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и получить учетные данные администратора;
Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей;
Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации;
Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack);
Попытки сканирования сети - обнаруживает/блокирует сканирование сети;
Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы;
Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга;
Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского;
Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows;
Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными центрами злоумышленников (C2);
Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (C2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных;
Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение;
Черный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com;
Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с идентификатором CVE-XXXX-XXXXX).
31.01.2024
Улучшена блокировка Hola VPN и Browsec VPN.
14.12.2023
Оптимизированы правила блокировки анонимайзеров.
11.12.2023
Удалена категория Попытки выполнить системный вызов из IPS.
07.12.2023
Добавлены новые правила для Телеметрии Windows;
VPN-Browsec не блокируется (добавлены новые правила для блокировки VPN-Browsec);
Удалена категория Защита SMTP;
Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype).
23.11.2023
Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr).
31.10.2023
Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некорректности обработки.
30.10.2023
Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения).
12.10.2023
Удалена категория PT Open.
02.10.2023
Убраны устаревшие и неработающие правила.
20.09.2023
Оптимизация расширенных правил.
21.07.2023
Отключено правило, блокирующее вход в AD.
21.06.2023
Исправление входа в Active Directory.
05.06.2023
Улучшение блокировки криптомайнеров.
30.05.2023
Улучшение блокировки DoH-запросов.
17.05.2023
Добавлена блокировка эксплойта MSMQ-серверов (CVE-2023-21554).
06.04.2023
Обновление черного списка;
Обновление источников детектирования DoH.
09.03.2023
Улучшение блокировки пулов криптомайнеров.
06.03.2023
Оптимизация срабатывания правил.
02.03.2023
Исправление работы FreeDNS;
Улучшение блокировки TOR и анонимайзеров.
01.03.2023
Исправление работы DropBox.
21.02.2023
Обновление источников черного списка IP-адресов;
Исправление работы Windows Store.
13.02.2023
Добавлен список SSL-сертификатов вредоносного ПО.
06.02.2023
Исправление доступа к Skype for Business.
26.01.2023
Исправление доступа к Autodesk Fusion 360.
29.12.2022
Обновлен черный список IP-адресов.
26.12.2022
Обновлен список адресов криптомайнеров.
13.12.2022
Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server.
29.11.2022
Исправления доступа к ipinfo.io.
26.10.2022
Удалена отдельная категория правил Список НКЦКИ. Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов".
21.10.2022
Удалена группа Активные ботнеты. Актуальные угрозы блокируются с помощью "Черных списков IP-адресов".
