Positive Technologies
Новости

MaxPatrol SIEM выявляет атаки с тактиками «Сбор данных» и «Воздействие» по матрице MITRE ATT&CK

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы, покрывающий тактики матрицы MITRE ATT&CK¹. Он позволяет выявить случаи, когда в скомпрометированной сети злоумышленники собирают информацию для ее последующей кражи, а также когда они управляют системами и данными, что может нарушить работу компании.

В состав нового пакета экспертизы вошли правила корреляции, которые детектируют применение тактик «Сбор данных» (Collection) и «Воздействие» (Impact). Теперь MaxPatrol SIEM покрывает 10 из 12 тактик по модели MITRE ATT&CK.

С помощью техник сбора данных злоумышленники могут завладеть конфиденциальной информацией для ее кражи или для развития атаки. Такими данными могут быть переписка топ-менеджмента по электронной почте, логины и пароли сотрудников, договоры и другая документация. Чтобы оперативно выявить злонамеренную активность, в пакет экспертизы включены правила, которые детектируют:

  • удаленный доступ к локальной копии данных электронной почты пользователя Microsoft Outlook,
  • кражу данных из буфера обмена,
  • скрытое создание снимков экрана рабочего ноутбука или компьютера.

Чтобы команды по ИБ не препятствовали действиям злоумышленников в скомпрометированной сети, киберпреступники могут применять тактику воздействия — влиять на работу IT-инфраструктуры компании, например ограничивать доступность служб, искажать информацию и управлять учетными данными. Для оперативного реагирования на подобные действия в состав пакета экспертизы входят правила, которые выявляют попытки:

  • удалить теневую копию данных, необходимую для восстановления Windows;
  • удалить учетные записи из определенных групп пользователей Windows (например, администраторов домена);
  • сбросить или заменить пароль, удалить или блокировать учетные записи, включенные в область мониторинга;
  • остановить системные службы (например, Active Directory Certificate Services).

Новый пакет экспертизы доступен пользователям MaxPatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.

 

  1. База знаний с описанием тактик, техник и процедур атак злоумышленников.