Сложные атаки стали заметнее: в MaxPatrol SIEM — 60 новых правил
NewsMakerPositive Technologies усилила защиту AD и Exchange.
Система мониторинга событий информационной безопасности MaxPatrol SIEM дополнена новыми правилами обнаружения угроз. Обновления коснулись 18 пакетов экспертизы, помогающих выявлять актуальные техники атак на Microsoft Active Directory и Microsoft Exchange, а также активность хакерских фреймворков, действия злоумышленников с применением тактик по матрице MITRE ATT&CK и сетевые аномалии во время удалённой работы.
Ежедневно хакеры изобретают новые методы нападений, совершенствуют и модифицируют уже известные и ищут аналоги тем своим инструментам, которые уже покрыты детектами систем безопасности. Чтобы обеспечивать результативную защиту и оперативно предупреждать инциденты ИБ, специалисты Positive Technologies следят за трендами и новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM.
Суммарно в рамках масштабного обновления экспертизы было разработано 60 правил корреляции и нормализации. С их помощью система среди прочего теперь выявляет:
Обновлённый пакет экспертизы, с которого начиналось наполнение MaxPatrol SIEM, был существенно переработан — в него интегрированы как прежние, так и новые правила, а для атак на службу сертификации Active Directory выделен отдельный набор.
Кроме того, были актуализированы существующие экспертные пакеты, направленные на обнаружение техник из матрицы MITRE ATT&CK, относящихся к тактикам «Получение учетных данных» (Credential Access), «Разведка» (Discovery), «Повышение привилегий» (Privilege Escalation), «Закрепление» (Persistence) и другим.

Система мониторинга событий информационной безопасности MaxPatrol SIEM дополнена новыми правилами обнаружения угроз. Обновления коснулись 18 пакетов экспертизы, помогающих выявлять актуальные техники атак на Microsoft Active Directory и Microsoft Exchange, а также активность хакерских фреймворков, действия злоумышленников с применением тактик по матрице MITRE ATT&CK и сетевые аномалии во время удалённой работы.
Ежедневно хакеры изобретают новые методы нападений, совершенствуют и модифицируют уже известные и ищут аналоги тем своим инструментам, которые уже покрыты детектами систем безопасности. Чтобы обеспечивать результативную защиту и оперативно предупреждать инциденты ИБ, специалисты Positive Technologies следят за трендами и новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM.
Суммарно в рамках масштабного обновления экспертизы было разработано 60 правил корреляции и нормализации. С их помощью система среди прочего теперь выявляет:
- современные сетевые аномалии при удалённой работе, среди которых нетипичные для корпоративной инфраструктуры подключения по VPN или RDG не из России, подозрительные действия на узлах, исходящие от специализированных программ для удалённого администрирования, а также создание посредством их файлов, которые нарушители могут отправить на целевой узел для дальнейшего развития атаки;
- дополнительные признаки работы ранее детектируемых хакерских утилит Cobalt Strike и Covenant: их продолжают задействовать для постэксплуатации и сокрытия нелегитимной активности на конечных точках;
- новейшие сценарии атак на Microsoft Active Directory: с обновлённым пакетом экспертизы MaxPatrol SIEM сообщит оператору о попытках получения сертификатов для целевой учётной записи в результате ретрансляции NTLM-аутентификации, выпуска TGT-билетов на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и других угрозах, связанных с переоформлением сертификатов;
- способы атак на корпоративный почтовый сервер Microsoft Exchange: среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учётные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB к каждому из них.
Обновлённый пакет экспертизы, с которого начиналось наполнение MaxPatrol SIEM, был существенно переработан — в него интегрированы как прежние, так и новые правила, а для атак на службу сертификации Active Directory выделен отдельный набор.
Кроме того, были актуализированы существующие экспертные пакеты, направленные на обнаружение техник из матрицы MITRE ATT&CK, относящихся к тактикам «Получение учетных данных» (Credential Access), «Разведка» (Discovery), «Повышение привилегий» (Privilege Escalation), «Закрепление» (Persistence) и другим.