Разделы

Безопасность Новости поставщиков

Maxpatrol SIEM научилась выявлять атаки с тактиками «Сбор данных» и «Воздействие» по матрице MITRE ATT&CK

В систему выявления инцидентов Maxpatrol SIEM загружен новый пакет экспертизы, покрывающий тактики матрицы MITRE ATT&CK. Он позволяет выявить случаи, когда в скомпрометированной сети злоумышленники собирают информацию для ее последующей кражи, а также когда они управляют системами и данными, что может нарушить работу компании.

В состав нового пакета экспертизы вошли правила корреляции, которые детектируют применение тактик «Сбор данных» (Collection) и «Воздействие» (Impact). Теперь Maxpatrol SIEM покрывает 10 из 12 тактик по модели MITRE ATT&CK.

С помощью техник сбора данных злоумышленники могут завладеть конфиденциальной информацией для ее кражи или для развития атаки. Такими данными могут быть переписка топ-менеджмента по электронной почте, логины и пароли сотрудников, договоры и другая документация. Чтобы оперативно выявить злонамеренную активность, в пакет экспертизы включены правила, которые детектируют: удаленный доступ к локальной копии данных электронной почты пользователя Microsoft Outlook; кражу данных из буфера обмена; скрытое создание снимков экрана рабочего ноутбука или компьютера.

Digital Q.BPM: как выглядит бесшовная альтернатива Camunda 7 для российского бизнеса
цифровизация

Чтобы команды по ИБ не препятствовали действиям злоумышленников в скомпрометированной сети, киберпреступники могут применять тактику воздействия — влиять на работу ИТ-инфраструктуры компании, например, ограничивать доступность служб, искажать информацию и управлять учетными данными. Для оперативного реагирования на подобные действия в состав пакета экспертизы входят правила, которые выявляют попытки: удалить теневую копию данных, необходимую для восстановления Windows; удалить учетные записи из определенных групп пользователей Windows (например, администраторов домена); сбросить или заменить пароль, удалить или блокировать учетные записи, включенные в область мониторинга; остановить системные службы (например, Active Directory Certificate Services).

Новый пакет экспертизы доступен пользователям Maxpatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.



IT Elements 2025 IT Elements 2025

erid:

Рекламодатель:

ИНН/ОГРН: