Предустановленные активные листы
В поставку KUMA включены перечисленные в таблице ниже активные листы.
Предустановленные активные листы
Название активного листа | Описание |
[OOTB][AD] End-users tech support accounts | Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка. |
[OOTB][AD] List of requested TGT. EventID 4768 | Активный список наполняется правилом [OOTB][AD][Technical] 4768. TGT Requested, также данный активный список используется в селекторе правила [OOTB][AD] Granted TGS without TGT (Golden Ticket). Записи удаляются из списка через 10 часов после внесения. |
[OOTB][AD] List of sensitive groups | Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка. |
[OOTB][Linux] CompromisedHosts | Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения. |
