29/07/24
Система мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM получила масштабное обновление экспертизы: в продукт было загружено около 70 новых правил обнаружения киберугроз. Кроме того, в системе появились механизмы, дополняющие события ИБ индикаторами компрометации (IoC), — это облегчает задачи аналитиков и до двух раз сокращает время на разбор инцидентов.
Самое большое обновление получили пакеты правил, выявляющие атаки на Active Directory, а также атаки, при проведении которых используются такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Правила позволят обнаружить как новые техники атак, например использование утилиты SOAPHound, так и те методы, которые злоумышленники уже применяют длительное время.
«У всех этих угроз есть кое-что общее — они требуют немедленного реагирования. MaxPatrol SIEM поможет вовремя обнаружить подозрительные действия и даст необходимый контекст для принятия дальнейших решений. Новые механизмы обогащения позволяют дополнять полезной информацией об индикаторах компрометации как корреляционные, так и нормализованные[1] события. Добавленный контекст акцентирует внимание оператора MaxPatrol SIEM на наиболее важных из них, делает их поиск удобным и увеличивает скорость валидации подозрительных, вредоносных событий, что особенно важно при расследовании инцидентов ИБ», — отмечает Сергей Щербаков, специалист группы обнаружения атак на конечных устройствах, Positive Technologies.
Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM, позволят выявить:
- Атаки на Microsoft Active Directory, связанные со службой сертификации (Active Directory Certificate Services, AD CS). Такие атаки входят в число наиболее успешно реализуемых. MaxPatrol SIEM выявляет атаки, в которых доступ к компонентам AD CS используется для удаленного выполнения кода и получения NTLM-хешей[2] учетных записей. Кроме того, продукт обнаруживает атаки, в которых задействуются групповые политики Active Directory, позволяющие ИТ-администраторам централизованно управлять ролями пользователей и компьютерами. Злоумышленники могут использовать групповые политики, чтобы подменить программы, запустить нужные им процессы на устройствах или добавить учетные записи.
- Новые инструменты киберпреступников. Так, продукт отслеживает активность утилиты SOAPHound, которая извлекает данные из среды Active Directory, не взаимодействуя напрямую с сервером LDAP[3], чтобы оставаться вне поля зрения средств защиты.
- Подозрительные обращения файлов к API[4] мессенджера Telegram, замаскированные под легитимные действия. Это позволяет MaxPatrol SIEM обнаруживать C2-каналы[5], которые злоумышленники используют для обмена данными со взломанными устройствами, загрузки вредоносных программ, перемещения украденной информации на свои серверы.
- Действия злоумышленников, направленные на завладение учетными данными и получение первоначального доступа к системам. Используя новые правила, MaxPatrol SIEM обнаруживает принудительную аутентификацию, в результате которой злоумышленники получают NTLM-хеши паролей. Затем киберпреступники могут попытаться аутентифицироваться в системе с помощью хешей или подобрать пароли в открытом виде.
- Эксплуатацию серии уязвимостей, получившей название Potato Vulnerabilities. Эти недостатки безопасности позволяют киберпреступникам повысить привилегии от сервисной учетной записи до системных прав. Для обнаружения таких активностей в MaxPatrol SIEM загружены пять новых правил.
Помимо прочего, в продукт были добавлены механизмы, дополняющие нормализованные события ИБ индикаторами компрометации, за счет чего повысилась точность обнаружения киберугроз. В MaxPatrol SIEM также появилась функция автоматического извлечения URL-адреса из интерфейса командной строки, которая распространяется на все корреляционные события[6]. Эти возможности упрощают задачи специалистов по сбору информации и позволяют им до двух раз сократить время на анализ каждого срабатывания.
Чтобы воспользоваться новыми правилами и возможностями MaxPatrol SIEM, необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2).
