CREATE TABLE IF NOT EXISTS public."Reestr"
(
id integer NOT NULL GENERATED ALWAYS AS IDENTITY ( INCREMENT 1 START 1 MINVALUE 1 MAXVALUE 2147483647 CACHE 1 ),
"Name" character varying COLLATE pg_catalog."default" NOT NULL,
"Source" character varying COLLATE pg_catalog."default",
"Status" character varying COLLATE pg_catalog."default",
"Rule_id" character varying COLLATE pg_catalog."default" NOT NULL,
"Description" character varying COLLATE pg_catalog."default",
"Importance" character varying COLLATE pg_catalog."default",
"Vendor" character varying COLLATE pg_catalog."default",
"is_modified" character varying COLLATE pg_catalog."default",
"Automatization" character varying COLLATE pg_catalog."default",
"Possible Automatization" character varying COLLATE pg_catalog."default",
CONSTRAINT "Reestr_pkey" PRIMARY KEY ("Name", "Rule_id")
)
TABLESPACE pg_default;
INSERT INTO "Reestr" ("Name", "Source", "Status", "Rule_id", "Description", "Importance", "Vendor", "is_modified", "Automatization", "Possible Automatization") VALUES
('Обнаружение попыток использовать Powershell remoting (WinRM) при удаленном выполнении команд', 'События аудита ОС Windows по запуску процессов, (msgid == "4688" or msgid == "1")','Запущено', 'Remoting_Powershell', 'обнаружено использование PowerShell Remoting (WinRM) при удаленном подключении к узлу. Событие может указывать на выполнении злоумышленником команд через Windows PowerShell', 'low', 'PT', 'Yes', '', ''),
('Обнаружение попыток удаленного создания запланированной задачи Windows при помощи встроенной утилиты Windows "atsvc"', 'События аудита ОС Windows по логину в системе, аудит событий доступа к внешнему ресурсу, события создания запланированной задачи, msgid == "4624" or msgid == "540", msgid == "5145", msgid == "602", msgid == "560"','Запущено', 'Remoting_Scheduled_Task_via_AT', 'обнаружено создание задания в планировщике заданий Windows с помощью команды AT при удаленном подключении к узлу', 'low', 'PT', 'Yes'),
('Обнаружение попыток удаленного создания запланированной задачи Windows при помощи встроенной утилиты Windows "schtasks"', 'События аудита ОС Windows по логину в системе, события создания запланированной задачи, msgid == "4624" or msgid == "540", msgid == "4698", msgid == "602", msgid == "560"', 'Запущено', 'Remoting_Scheduled_Task_via_Schtasks', 'обнаружено создание задания в планировщике заданий Windows с помощью утилиты Schtask.exe при удаленном подключении к узлу', 'low', 'PT', 'No'),
('Обнаружение попыток удаленного доступа к административным ресурсам компьютера от имени учетных записей пользователей', 'События аудита ОС Windows по логину в системе, события доступа к сетевому ресурсу, msgid == "4624" and (msgid == "5140" or msgid == "5145")','Запущено', 'Remote_admin_share_access', 'обнаружен удаленный доступ к административным ресурсам компьютера. Возможны копирование злоумышленником ПО на скомпрометированный узел или удаленное использование утилиты psexec.exe', 'medium', 'PT', 'No', '', ''),
('Обнаружение попыток использовать Windows Remote Shell (WinRS) при удаленном выполнении команд', 'События аудита ОС Windows по логину в системе, события запуска процессов, msgid == "4624" and (msgid == "4688" or msgid == "1")','Запущено', 'Remoting_Windows_shell_Use', 'обнаружено использование Windows Remote Shell (WinRS) при удаленном подключении к узлу', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток использовать утилиту администрирования Windows "WinExec" при удаленном выполнении команд', 'События аудита ОС Windows по логину в системе, события запуска процессов, msgid == "4624" and (msgid == "4688" or msgid == "1")', 'Запущено', 'Remoting_WinExec', 'обнаружено использование утилиты администрирования WinExec при удаленном подключении к узлу', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток использовать WMI Remoting', 'События аудита ОС Windows по логину в системе, события запуска процессов, msgid == "4624" and (msgid == "4688" or msgid == "1")', 'Запущено', 'Remoting_WMI', 'обнаружено использование WMI при удаленном подключении к узлу', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток запусить утилиту администрирования PSEXEC и ее аналогов', 'События OC Windows по запуску процессов, события установки новой системной службы, (msgid == "4688" or msgid == "1") and msgid == "7045"','Запущено', 'Execute_PSEXEC', 'Обнаружено использование утилиты для удаленного администрирования (PsExec, WinExec, CSExec или PAExec)', 'low', 'PT', 'Yes', '', ''),
('Обнаружение попытки администратора безопасности удаленно войти на узел, не являющийся контроллером домена', 'События аудита успешных и неуспешных попыток логина в ОС Windows, msgid == "4624", msgid == "4625", msgid == "528", msgid == "529", msgid == "530", msgid == "531", msgid == "532", msgid == "533", msgid == "534", msgid == "535", msgid == "536", msgid == "537", msgid == "539", msgid == "540"','Запущено', 'Remoting_AD_Admin_RDP_or_Console_logon_on_bad_host', 'обнаружено открытие сессии RDP на узле, не являющимся контроллером домена Active Directory, от имени учетной записи, указанной в табличном списке AD_Security_Administrators ', 'medium', 'PT', 'No', '', ''),
('Обнаружение использования DCOM', 'События аудита журнала Powershell, msgid == "4103" or msgid == "4104"','Запущено', 'Remoting_Execution_via_DCOM', 'обнаружен удаленный запуск процесса через компоненты DCOM', 'low', 'PT', 'No', '', 'В стадии тестирования находится флоу, выполняющее поиск процесса-инициатора запуска Powershell-скрипта'),
('Обнаружение попыток скопировать файлы через утилиту "extrac32"', 'События аудита запуска процессов в ОС Windows, (msgid == "4688" or msgid == "1")','Запущено', 'Remoting_File_copied_via_Extrac32', 'обнаружено использование системной утилиты extrac32 для извлечения сжатых файлов (например, файлов обновлений формата CAB). Утилита может использоваться злоумышленником для извлечения вредоносных файлов', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток загрузить файлы через инструментарий Java', 'События аудита запуска процессов в ОС Windows, (msgid == "4688" or msgid == "1")', 'Запущено', 'Remoting_Possibly_file_downloaded_with_JDK_scripting_tools', 'обнаружена загрузка файлов с помощью сценариев Java. Через интерфейс командной строки были выполнены команды cat, cp (команды с аргументами cat, cp)', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток доступа к удаленным файловым ресурсам через PSEXEC', 'События аудита ОС Windows по логину в системе, События доступа к сетевому ресурсу, msgid == 4624, msgid == 5145', 'Запущено', 'Remoting_PSEXEC', 'обнаружено использование утилиты администрирования PSEXEC при удаленном подключении к узлу', 'low', 'PT', 'No', '', ''),
('Обнаружение попыток запустить утилиту "tscon" с повышенными привилегиями', 'События аудита ОС Windows по запуску процессов, (msgid == "4688" or msgid == "1") ','Запущено', 'Remoting_Run_tscon_as_system', 'обнаружено выполнение команды TSCON от имени системной учетной записи. Команда используется для переключения между рабочими столами пользователей, зарегистрированных в системе локально или с использованием протокола RDP', 'low', 'PT', 'No', '', ''),
('Обнаружение попытки удаленного входа на контроллер домена пользователя, не являющегося администратором безопасности', 'События аудита успешных и неуспешных логонов в ОС Windows, (msgid == 4624 or msgid == 4625)','Запущено', 'Remoting_Unauthorized_access_on_DC', 'обнаружено открытие сессии RDP на контроллере домена Active Directoryот имени неизвестной учетной записи (не указанной в табличном списке AD_Security_Administrators)', 'low', 'PT', 'No', '', ''),
('Обнаружена локальная разведка ОС', 'События запуска процессов в ОС Linux, subject.type == "web daemon" and event_src.subsys == "auditd" and event_src.title == "unix_like" and action == "start" and object == "process"','Запущено', 'Detect_local_manual_recon_by_WWW_user', 'Обнаружены 15 или более запусков утилит (за 2 минуты), которые могут быть использованы злоумышленником для разведки (например, nmap, netstat, id, uname, su, sudo). Инцидент может указывать на компрометацию системы', 'high', 'PT', 'No', '', ''),
('Обнаружена локальная разведка ОС', 'События запуска процессов в ОС Linux, subject.type == "web daemon" and event_src.subsys == "auditd" and event_src.title == "unix_like" and action == "start" and object == "process"','Запущено', 'Detect_local_automatic_recon_by_WWW_user', 'Обнаружены 15 или более запусков утилит (за 2 минуты), которые могут быть использованы злоумышленником для разведки (например, nmap, netstat, id, uname, su, sudo). Инцидент может указывать на компрометацию системы', 'high', 'PT', 'No', '', ''),
('Обнаружен обратный SSH-туннель', 'События аудита создания SSH туннеля в ОС Linux, event_src.title == "unix_like" and action == "start" and object == "process" and regex(object.path + object.name, "^.*?bin/ssh$", 0) != null','Запущено', 'Detect_possible_Unix_reverse_tunneling_via_SSH', 'Обнаружена попытка создания (успешная или неуспешная) обратного туннелированного SSH-соединения', 'low', 'PT', 'No', '', ''),
('Обнаружен SSH-туннель, созданный c помощью SSHuttle (клиент)', 'События аудита запуска процессов в ОС Linux, event_src.title == "unix_like" and action == "start" and object == "process" and regex(object.path + object.name, "^.*?bin/ssh$", 0) != null','Запущено', 'Detect_possible_Unix_tunneling_via_SSHuttle_client', 'Обнаружена попытка создания (успешная или неуспешная) туннелированного соединения с помощью утилиты sshuttle, запущенной на клиенте', 'low', 'PT', 'No', '', ''),
('Обнаружен SSH-туннель, созданный c помощью SSHuttle (сервер)', 'События аудита запуска процессов в ОС Linux, event_src.title == "unix_like" and action == "start" and object == "process" and regex(object.path + object.name, "^.*?bin/ssh$", 0) != null', 'Запущено', 'Detect_possible_Unix_tunneling_via_SSHuttle_server', 'Обнаружена попытка создания (успешная или неуспешная) туннелированного соединение с помощью утилиты sshuttle, запущенной на сервере', 'low', 'PT', 'No', '', '')
Write, Run & Share PostgreSQL queries online using OneCompiler's PostgreSQL online editor and compiler for free. It's one of the robust, feature-rich online editor and compiler for PostgreSQL. Getting started with the OneCompiler's PostgreSQL editor is really simple and pretty fast. The editor shows sample boilerplate code when you choose database as 'PostgreSQL' and start writing queries to learn and test online without worrying about tedious process of installation.
PostgreSQL is a open source relational database system and is also knows as Postgres.
CREATE command is used to create a table, schema or an index.
CREATE TABLE table_name (
column1 datatype,
column2 datatype,
....);
ALTER command is used to add, modify or delete columns or constraints from the database table.
ALTER TABLE Table_name ADD column_name datatype;
TRUNCATE command is used to delete the data present in the table but this will not delete the table.
TRUNCATE table table_name;
DROP command is used to delete the table along with its data.
DROP TABLE table_name;
RENAME command is used to rename the table name.
ALTER TABLE table_name1 RENAME to new_table_name1;
INSERT Statement is used to insert new records into the database table.
INSERT INTO table_name (column1, column2, column3, ...) VALUES (value1, value2, value3, ...);
Select statement is used to select data from database tables.
SELECT column1, column2, ...
FROM table_name;
UPDATE statement is used to modify the existing values of records present in the database table.
UPDATE table_name
SET column1 = value1, column2 = value2, ...
WHERE condition;
DELETE statement is used to delete the existing records present in the database table.
DELETE FROM table_name where condition;