• Accueil
  • Bibliothèque de règles de corrélation

Bibliothèque de règles de corrélation

Ce référentiel contient une série complète de règles visant à renforcer la sécurité de l’organisation en détectant divers types d’activité suspecte et de menaces. Chaque règle est classée pour faciliter la navigation et une approche structurée de la détection des menaces. Les règles de cette bibliothèque permettent de beaucoup renforcer la capacité à détecter et gérer les incidents de sécurité, assurant une protection plus fiable contre une vaste gamme de cybermenaces.

Outil d’attaquant

Ces règles détectent la présence et l’utilisation d’outils d’attaquant connus.

WinPeasDétectionMimiKatzDétection SharpSharesDétectionBadPotatoDétectionBloodhoundDétectionSharpViewDétectionSafetyKatzDétectionSharPersistDétectionSharpZeroLogonDétectionSharpDumpDétectionSafetyDumpDétectionVulnReconDétectionPrintSpooferDétectionSharpHoundDétectionSharpUpDétectionSprayKatzDétectionMetasploit DétectionHashcat DétectionPetitpotam DétectionRubeus DétectionCrackmapexec DétectionSweetPotato DétectionJohn The RipperKerbrute DétectionHydra Détection

Processus suspect

Ces règles identifient des processus suspects pouvant signaler une activité malveillante.

Spoolsv générant Rundll32Trop de tentatives de désactivation de servicesUtilisation excessive de TaskkillProduitOffice générant MSHTAWindows masquant Explorer comme processus enfantWsmprovhost LOLBAS exécution de processus généréCommande de sortie de veille RyukAjout ouou définition d’exclusion Windows DefenderAnalyse de sécurité Powershell désactivée

Processus parent suspect

Ces règles détectent des relations de processus parent-enfant suspectes pour identifier des attaques.

Parent suspect générantautochkParent suspect générantfontdrvhostParent suspect générantdwmParent suspect générantConsentParent suspect généranttiworkerParent suspect générantruntimebrokerParent suspect générantsearchindexerParent suspect générantsearchprotocolhostParent suspect générantdllhostParent suspect générant smssParent suspect générantcsrssParent suspect générantSuspicious parent spawning wininitwininitParent suspect générant winlogonParent suspect générantlsassParent suspect générantlsaIsoParent suspect générantLogonUIParent suspect générant servicesParent suspect générantsvchostParent suspect générant spoolsvParent suspect générant taskhost

Processus enfant suspect

Ces règles identifient des processus enfants suspects générés par certains processus parents pour détecter des maliciels.

SearchProtocolHost générant un enfant suspecttaskhost générant un enfant suspectcsrss générant un enfant suspectautochkgénérant un enfant suspectsmsssmss générant un enfant suspectwermgr générant un enfant suspectconhostgénérant un enfant suspectExcelgénérant un hôte de script WindowsProduit Office un hôte de script WindowsProduit Office générant un hôte de script Windows

Attaque d’exploitation des ressources locales

Ces règles détectent l’utilisation inhabituelle d’outils système comme PowerShell et WMI pour identifier des attaques dissimulées.

Modification de groupe de comptes privilégiés localVol d’identifiants via Procdump ou comsvcsLigne de commande PowerShell codée suspecteExécution suspecte de CertOCCréation de fichier suspecte avec ColorcplExécution suspecte de ConfigSecurityPolicyCommande Certreq suspecte pour téléchargerCopieCopie VSS supprimée avec VSSADMIN ou wmicContournement de contrôle UAC via CMSTPContournement des contrôles de sécuritéCommande Certutil suspecte
Accueil

Distinctions et récompenses

ManageEngine figure dans le MQ 2024 de Gartner sur le SIEM Solution SIEM préférée des clients dans le rapport Gartner Peer Insights

  Editor's choice  
  7ème présence dans le MQ en 2024  
  Acteur majeur en 2024  
  Innovateur de sécurité cloud intégrée  
  Excellence technique en SIEM  
  Leader du marché le plus novateur