Специалисты Positive Technologies обновили экспертизу продукта.
Для просмотра ссылки Войдиили Зарегистрируйся расширил свои возможности по обнаружению угроз, добавив 62 новых правила. С их помощью система мониторинга событий ИБ способна выявлять среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов.
Обновления коснулись следующих пакетов экспертизы:
Среди наиболее важных правил в опубликованных обновлениях пользователи MaxPatrol SIEM могут обнаруживать:
или Зарегистрируйся связаны с шифрованием или затиранием данных на узлах корпоративной инфраструктуры. Самыми распространенными шифровальщиками были Black Basta, Rhysida и LockBit, а операторы вымогателей продолжают расширять арсенал. В Positive Technologies отмечают, что шифровальщики быстро распространяются с одного узла на другие. «С обновленным пакетом экспертизы пользователи MaxPatrol SIEM получат сигнал уже о первом атакованном шифровальщиком компьютере. Своевременно удалив вирус, они смогут остановить атаку на ранней стадии и оперативно расследовать инцидент», - добавили в компании
Для того, чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.
Для просмотра ссылки Войди
Обновления коснулись следующих пакетов экспертизы:
- «Атаки с помощью специализированного ПО»,
- «Атаки методом перебора»,
- «Расследование запуска процессов в Windows»,
- «Сетевые устройства. Индикаторы компрометации»,
- тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».
Среди наиболее важных правил в опубликованных обновлениях пользователи MaxPatrol SIEM могут обнаруживать:
- типичные действия шифровальщиков, например массовое создание файлов или их изменение одним и тем же процессом;
- дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
- популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
Для того, чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.
- Источник новости
- www.securitylab.ru