Набор предустановленных правил

1

-

3coresec.rules

Обнаружение обращения от/до известных заблокированных IP-адресов по списку 3CORESec (на основе honeypot - контролируемой системы для привлечения атак)

2

-

botcc.portgrbotcc.rulesouped.rules

Обнаружение активности, связанной с известными командно-контрольными (C&C) серверами ботнетов, которые используют определенные порты для связи

3

-

botcc.rules

Обнаружение активности, связанной с известными командно-контрольными (C&C) серверами ботнетов

4

-

ciarmy.rules

Обнаружение обращения от/до IP-адресов с низкой репутацией по базе www.cinsscore.com

5

-

compromised.rules

Обнаружение обращения от/до известных скомпрометированных IP-адресов

6

-

drop.rules

Обнаружение трафика от/до спамерских IP-адресов по списку от Spamhaus

7

-

dshield.rules

Обнаружение трафика, связанного с известными злонамеренными IP-адресами, которые были зарегистрированы в базе данных DShield

8

-

emerging-activex.rules

Обнаружение попыток использования уязвимостей в технологии ActiveX (позволяет веб-страницам взаимодействовать с компонентами операционной системы и другими приложениями)

9

-

emerging-adware_pup.rules

Обнаружение активности, связанной с рекламным программным обеспечением (adware), потенциально нежелательными или шпионскими программами

10

+

emerging-attack_response.rules

Обнаружение реакций, указывающих на вторжение, результаты успешной атаки и сценарии (включая распространенные методы обфускации), обычно используемые при доставке вредоносного ПО или других вредоносных данных

11

-

emerging-chat.rules

Обнаружение активности, связанной с клиентами чатов. Трафик чатов может указывать на возможную активность злоумышленников

12

-

emerging-coinminer.rules

Обнаружение активности, связанной с майнингом криптовалюты

13

-

emerging-current_events.rules

Обнаружение маштабных компаний атак на данный момент времени. Обычно случаются при обнаружении уязвимостей в популярных программах/сервисах, массовой рассылке спама и т.д.

14

-

emerging-deleted.rules

Правила, удаленные из набора, устаревшие правила, проблемные, дубликаты или более неактуальные правила. Оставлены для сохранения истории

15

-

emerging-dns.rules

Обнаружение попыток обхода фильтрации (тунеллирования), злоупотребления или атак на DNS-серверы, подмены DNS-запросов и другие подозрительные действия, связанные с протоколом DNS

16

-

emerging-dos.rules

Обнаружение атак на протоколы, уязвимостей в сетевых службах или другие методы, используемые для создания отказа в обслуживании (Denial of Service)

17

-

emerging-exploit.rules

Обнаружение попыток эксплойтации конкретных уязвимостей в веб-приложениях, операционных системах, серверах баз данных и других компонентах сети, не вошедших в отдельные категории

18

-

emerging-exploit_kit.rules

Обнаружение попыток использования пакетов эксплойтов (инструментов автоматизированной эксплуатации уязвимостей), их инфраструктуры,  загрузки/доставки и т.п.

19

-

emerging-ftp.rules

Обнаружение попыток несанкционированного доступа, атаки на FTP-серверы, передачи вредоносных файлов и другие подозрительные действия, связанные с протоколом FTP

20

-

emerging-games.rules

Обнаружение трафика игровых серверов, онлайн игр (казино и т.п.) и атак на клиентов игр. Вероятно не является вредоносным, но может быть нежелательным в корпоративной сети

21

-

emerging-hunting.rules

Обнаружение аномального (подозрительного) использования протоколов, запросов (DNS и т.п.) и/или содержимого, попыток эксплуатации уязвимостей сервисов, эксплойтов. Могут выступать в роли «индикаторов» с другими правилами. Значительно влияет на производительность и может давать ложно-положительные срабатывания, рекомендуется использовать в основном при агрессивном выяснении возможных угроз в инфраструктуре

22

-

emerging-icmp.rules

Обнаружение попыток атаки через ICMP, сканирование сети, фрагментацию ICMP-пакетов и другие подозрительные действия, связанные с ICMP протоколом

23

-

emerging-icmp_info.rules

Обнаружение ICMP сообщений - эхо-запрос, информация о маршрутизации, сообщения об ошибках и другие сетевые сообщения, которые не являются вредоносными, но могут быть использованы для мониторинга и анализа сети

24

-

emerging-imap.rules

Обнаружение попыток несанкционированного доступа к почтовым ящикам, атак на почтовые серверы или другие подозрительные действия, связанные с IMAP протоколом

25

-

emerging-inappropriate.rules

Обнаружение доступа к запрещенным веб-сайтам, распространение нежелательной рекламы, атаки на личную информацию или другие действия, которые могут нарушать этические нормы

26

+

emerging-info.rules

Обнаружение различных типов информационной активности, такие как сканирование портов, сбор информации о системе, запросы DNS, а также другие действия, которые могут быть связаны с исследованием или сбором информации о целевой сети или системе

27

-

emerging-ja3.rules

Обнаружение атак, обходов безопасности или других подозрительных действий, связанных с использованием специфических JA3 отпечатков клиентов SSL/TLS

28

-

emerging-malware.rules

Обнаружение попыток установки вредоносных файлов, обмена конфиденциальной информацией с вредоносными серверами, выполнения вредоносных команд и других подозрительных действий

29

-

emerging-misc.rules

Обнаружение возможных угроз: сканирования портов, атак на протоколы, аномального трафика и других подозрительных действий

30

-

emerging-mobile_malware.rules

Обнаружение попыток установки вредоносных приложений, отправки конфиденциальной информации или другие подозрительные действия, связанные с мобильными устройствами

31

-

emerging-netbios.rules

Обнаружение попыток несанкционированного доступа, атак на службы NetBIOS (обмена информацией и управления ресурсами в локальных сетях) или другие подозрительные действия, связанные с протоколом

32

-

emerging-p2p.rules

Обнаружение попыток использования p2p протоколов (торренты, файлообменники и т.п.) - распространения вредоносных файлов, нарушения авторских прав или других нежелательных действий, связанных с P2P-сетями

33

-

emerging-phishing.rules

Обнаружение фишинговых атак, идентифицируя подозрительные веб-сайты, электронные сообщения или другие формы коммуникации, которые могут быть связаны с фишингом

34

+

emerging-policy.rules

Обнаружение нарушения политик безопасности, такие как нежелательное использование интернет ресурсов (сайтов, сервисов и т.п.), нарушение правил доступа, некорректное использование протоколов и другие виды активности, связанные с политиками безопасности

35

-

emerging-pop3.rules

Обнаружение попыток несанкционированного доступа к почтовым ящикам, атак на почтовые серверы, а также другие виды активности, связанные с протоколом POP3

36

-

emerging-rpc.rules

Обнаружение атак на службы, использующие RPC (удалённый вызов процедур), попытки несанкционированного доступа или манипуляции с данными через RPC

37

-

emerging-scada.rules

Обнаружение атак на SCADA-системы, попытки несанкционированного доступа или манипуляции с данными SCADA

38

+

emerging-scan.rules

Обнаружение сканирования портов, сканирования уязвимостей, сканирования сетевых протоколов и других виды подобной активности

39

-

emerging-shellcode.rules

Обнаружение атак на командную оболочку - переполнение буфера, внедрение вредоносного кода и другие виды активности, связанные с использованием shellcode

40

-

emerging-smtp.rules

Обнаружение попыток почтового спама, фишинга, атак на почтовые серверы, а также другие виды активности, связанные с протоколом SMTP

41

-

emerging-snmp.rules

Обнаружение подозрительной активности, связанной с протоколом SNMP - попытки аутентификации с неверными учетными данными, сканирование портов, атаки на серверы или другие аномальные действия

42

-

emerging-sql.rules

Обнаружение попыток несанкционированного доступа к базам данных - эксплуатации SQL инъекций

43

-

emerging-telnet.rules

Обнаружение попыток несанкционированного доступа по Telnet протоколу, попытки перехвата учётных данных или выполнение команд через Telnet

44

-

emerging-tftp.rules

Обнаружение попыток несанкционированного доступа к TFTP, передачи вредоносных файлов/эксплойтов

45

-

emerging-user_agents.rules

Обнаружение попыток маскировки/подделки пользовательского агента (строка идентификации, которая отправляется веб-браузером), обнаружение попыток обхода фильтров/блокировок

46

-

emerging-voip.rules

Обнаружение активности, связанной с протоколом VoIP (голосовой связи через интернет) - попытки перехвата/подслушивания, попытки манипуляции

47

-

emerging-web_client.rules

Обнаружение вредоносной активности на стороне веб-клиентов - попытки эксплуатации эксплойтов, уязвимостей, несанкционированный доступ

48

-

emerging-web_server.rules

Обнаружение вредоносной активности против веб-серверов - попытки эксплуатации эксплойтов, уязвимостей, несанкционированный доступ

49

-

emerging-web_specific_apps.rules

Обнаружение вредоносной активности с конкретными веб-приложениями и сервисами - попытки эксплуатации эксплойтов, уязвимостей, несанкционированный доступ

50

-

emerging-worm.rules

Обнаружение активности, связанной с «червями» и самораспространяющимися вирусами

51

-

threatview_CS_c2.rules

Обнаружение активности, связанной с C2 серверами (используются для управления ботнетом), а также активности, связанной с управлением и контролем вредоносных программ

52

-

tor.rules

Обнаружение использования анонимайзера Tor