В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы, покрывающий тактики матрицы MITRE ATT&CK¹. Он позволяет выявить случаи, когда в скомпрометированной сети злоумышленники собирают информацию для ее последующей кражи, а также когда они управляют системами и данными, что может нарушить работу компании.
В состав нового пакета экспертизы вошли правила корреляции, которые детектируют применение тактик «Сбор данных» (Collection) и «Воздействие» (Impact). Теперь MaxPatrol SIEM покрывает 10 из 12 тактик по модели MITRE ATT&CK.
С помощью техник сбора данных злоумышленники могут завладеть конфиденциальной информацией для ее кражи или для развития атаки. Такими данными могут быть переписка топ-менеджмента по электронной почте, логины и пароли сотрудников, договоры и другая документация. Чтобы оперативно выявить злонамеренную активность, в пакет экспертизы включены правила, которые детектируют:
- удаленный доступ к локальной копии данных электронной почты пользователя Microsoft Outlook,
- кражу данных из буфера обмена,
- скрытое создание снимков экрана рабочего ноутбука или компьютера.
Чтобы команды по ИБ не препятствовали действиям злоумышленников в скомпрометированной сети, киберпреступники могут применять тактику воздействия — влиять на работу IT-инфраструктуры компании, например ограничивать доступность служб, искажать информацию и управлять учетными данными. Для оперативного реагирования на подобные действия в состав пакета экспертизы входят правила, которые выявляют попытки:
- удалить теневую копию данных, необходимую для восстановления Windows;
- удалить учетные записи из определенных групп пользователей Windows (например, администраторов домена);
- сбросить или заменить пароль, удалить или блокировать учетные записи, включенные в область мониторинга;
- остановить системные службы (например, Active Directory Certificate Services).
Новый пакет экспертизы доступен пользователям MaxPatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.
- База знаний с описанием тактик, техник и процедур атак злоумышленников.