Разделы

Безопасность Новости поставщиков

Maxpatrol SIEM научилась выявлять атаки с тактиками «Сбор данных» и «Воздействие» по матрице MITRE ATT&CK

В систему выявления инцидентов Maxpatrol SIEM загружен новый пакет экспертизы, покрывающий тактики матрицы MITRE ATT&CK. Он позволяет выявить случаи, когда в скомпрометированной сети злоумышленники собирают информацию для ее последующей кражи, а также когда они управляют системами и данными, что может нарушить работу компании.

В состав нового пакета экспертизы вошли правила корреляции, которые детектируют применение тактик «Сбор данных» (Collection) и «Воздействие» (Impact). Теперь Maxpatrol SIEM покрывает 10 из 12 тактик по модели MITRE ATT&CK.

С помощью техник сбора данных злоумышленники могут завладеть конфиденциальной информацией для ее кражи или для развития атаки. Такими данными могут быть переписка топ-менеджмента по электронной почте, логины и пароли сотрудников, договоры и другая документация. Чтобы оперативно выявить злонамеренную активность, в пакет экспертизы включены правила, которые детектируют: удаленный доступ к локальной копии данных электронной почты пользователя Microsoft Outlook; кражу данных из буфера обмена; скрытое создание снимков экрана рабочего ноутбука или компьютера.

Чтобы команды по ИБ не препятствовали действиям злоумышленников в скомпрометированной сети, киберпреступники могут применять тактику воздействия — влиять на работу ИТ-инфраструктуры компании, например, ограничивать доступность служб, искажать информацию и управлять учетными данными. Для оперативного реагирования на подобные действия в состав пакета экспертизы входят правила, которые выявляют попытки: удалить теневую копию данных, необходимую для восстановления Windows; удалить учетные записи из определенных групп пользователей Windows (например, администраторов домена); сбросить или заменить пароль, удалить или блокировать учетные записи, включенные в область мониторинга; остановить системные службы (например, Active Directory Certificate Services).

Екатерина Столбова, фонд «Сколково»: Грант покроет до 80% расходов компаний на внедрение ИТ-решений
Поддержка ИТ-отрасли

Новый пакет экспертизы доступен пользователям Maxpatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.