Positive Technologies усиливает SIEM-систему против современных атак.
Компания Positive Technologies анонсировала обновление для своей системы мониторинга событий информационной безопасности и управления инцидентами Для просмотра ссылки Войдиили Зарегистрируйся . В продукт было интегрировано около 70 новых правил для обнаружения киберугроз, а также введены дополнительные механизмы, облегчающие работу аналитиков и существенно сокращающие время на расследование инцидентов.
Наибольшие изменения коснулись правил, направленных на выявление атак на Active Directory. Обновление охватывает такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Новые правила позволят обнаруживать как новые методы атак, например, использование утилиты SOAPHound, так и давно известные техники.
В компании отметили, что угрозы, для которых разработаны новые правила, требуют немедленного реагирования. Новые механизмы обогащения позволяют дополнять корреляционные и нормализованные события полезной информацией об индикаторах компрометации, что акцентирует внимание оператора на наиболее важных из них и ускоряет процесс валидации подозрительных событий.
Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM , позволят выявить:
Для использования новых правил и возможностей MaxPatrol SIEM необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2)
Компания Positive Technologies анонсировала обновление для своей системы мониторинга событий информационной безопасности и управления инцидентами Для просмотра ссылки Войди
Наибольшие изменения коснулись правил, направленных на выявление атак на Active Directory. Обновление охватывает такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Новые правила позволят обнаруживать как новые методы атак, например, использование утилиты SOAPHound, так и давно известные техники.
В компании отметили, что угрозы, для которых разработаны новые правила, требуют немедленного реагирования. Новые механизмы обогащения позволяют дополнять корреляционные и нормализованные события полезной информацией об индикаторах компрометации, что акцентирует внимание оператора на наиболее важных из них и ускоряет процесс валидации подозрительных событий.
Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM , позволят выявить:
- Атаки на Microsoft Active Directory, связанные со службой сертификации (Active Directory Certificate Services, AD CS). Такие атаки Для просмотра ссылки Войди
или Зарегистрируйся в число наиболее успешно реализуемых. MaxPatrol SIEM выявляет атаки, в которых доступ к компонентам AD CS используется для удаленного выполнения кода и получения NTLM-хешей учетных записей. Кроме того, продукт обнаруживает атаки, в которых задействуются групповые политики Active Directory, позволяющие ИТ-администраторам централизованно управлять ролями пользователей и компьютерами. Злоумышленники могут использовать групповые политики, чтобы подменить программы, запустить нужные им процессы на устройствах или добавить учетные записи. - Новые инструменты киберпреступников. Так, продукт отслеживает активность утилиты SOAPHound, которая извлекает данные из среды Active Directory, не взаимодействуя напрямую с сервером LDAP, чтобы оставаться вне поля зрения средств защиты.
- Подозрительные обращения файлов к API мессенджера Telegram, замаскированные под легитимные действия. Это позволяет MaxPatrol SIEM обнаруживать C2-каналы, которые злоумышленники используют для обмена данными со взломанными устройствами, загрузки вредоносных программ, перемещения украденной информации на свои серверы.
- Действия злоумышленников, направленные на завладение учетными данными и получение первоначального доступа к системам. Используя новые правила, MaxPatrol SIEM обнаруживает принудительную аутентификацию, в результате которой злоумышленники получают NTLM-хеши паролей. Затем киберпреступники могут попытаться аутентифицироваться в системе с помощью хешей или подобрать пароли в открытом виде.
- Эксплуатацию серии уязвимостей, получившей название Для просмотра ссылки Войди
или Зарегистрируйся . Эти недостатки безопасности позволяют киберпреступникам повысить привилегии от сервисной учетной записи до системных прав. Для обнаружения таких активностей в MaxPatrol SIEM загружены пять новых правил.
Для использования новых правил и возможностей MaxPatrol SIEM необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2)
- Источник новости
- www.securitylab.ru