Обновление MaxPatrol SIEM: 70 новых правил

Компания Positive Technologies анонсировала обновление для своей системы мониторинга событий информационной безопасности и управления инцидентами MaxPatrol SIEM . В продукт было интегрировано около 70 новых правил для обнаружения киберугроз, а также введены дополнительные механизмы, облегчающие работу аналитиков и существенно сокращающие время на расследование инцидентов.

Наибольшие изменения коснулись правил, направленных на выявление атак на Active Directory. Обновление охватывает такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Новые правила позволят обнаруживать как новые методы атак, например, использование утилиты SOAPHound, так и давно известные техники.

В компании отметили, что угрозы, для которых разработаны новые правила, требуют немедленного реагирования. Новые механизмы обогащения позволяют дополнять корреляционные и нормализованные события полезной информацией об индикаторах компрометации, что акцентирует внимание оператора на наиболее важных из них и ускоряет процесс валидации подозрительных событий.

Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM, позволят выявить:

• Атаки на Microsoft Active Directory, связанные со службой сертификации (Active Directory Certificate Services, AD CS). Такие атаки входят в число наиболее успешно реализуемых. MaxPatrol SIEM выявляет атаки, в которых доступ к компонентам AD CS используется для удаленного выполнения кода и получения NTLM-хешей учетных записей. Кроме того, продукт обнаруживает атаки, в которых задействуются групповые политики Active Directory, позволяющие ИТ-администраторам централизованно управлять ролями пользователей и компьютерами. Злоумышленники могут использовать групповые политики, чтобы подменить программы, запустить нужные им процессы на устройствах или добавить учетные записи.
• Новые инструменты киберпреступников. Так, продукт отслеживает активность утилиты SOAPHound, которая извлекает данные из среды Active Directory, не взаимодействуя напрямую с сервером LDAP, чтобы оставаться вне поля зрения средств защиты.
• Подозрительные обращения файлов к API мессенджера Telegram, замаскированные под легитимные действия. Это позволяет MaxPatrol SIEM обнаруживать C2-каналы, которые злоумышленники используют для обмена данными со взломанными устройствами, загрузки вредоносных программ, перемещения украденной информации на свои серверы.
• Действия злоумышленников, направленные на завладение учетными данными и получение первоначального доступа к системам. Используя новые правила, MaxPatrol SIEM обнаруживает принудительную аутентификацию, в результате которой злоумышленники получают NTLM-хеши паролей. Затем киберпреступники могут попытаться аутентифицироваться в системе с помощью хешей или подобрать пароли в открытом виде.
• Эксплуатацию серии уязвимостей, получившей название Potato Vulnerabilities . Эти недостатки безопасности позволяют киберпреступникам повысить привилегии от сервисной учетной записи до системных прав. Для обнаружения таких активностей в MaxPatrol SIEM загружены пять новых правил.

Дополнительно в продукт введены механизмы, дополняющие нормализованные события ИБ индикаторами компрометации, повышая точность обнаружения киберугроз. В MaxPatrol SIEM также появилась функция автоматического извлечения URL-адресов из командной строки для всех корреляционных событий. Эти возможности помогают специалистам быстрее собирать информацию и сократить время на анализ каждого инцидента.

Для использования новых правил и возможностей MaxPatrol SIEM необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2)