Опасно чувствовать себя безопасно в Internet-е.

Журнал «Автоматизация в промышленности»

 

Связь с редакцией
Рассылка новостей

Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек запускаемых процессов

01.03.2023 14:37
Пресс-релиз компании Positive Technologies

Новый пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает любое скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий эффективнее выявлять активность злоумышленников, отображается в карточке события.

В SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.

Новый механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов, что существенно облегчает работу аналитиков ИБ. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события.

Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp, Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM, которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.

Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять:

  • применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
  • эксплуатацию уязвимости в алгоритме шифрования RC4, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.
  • «Пакеты экспертизы, загруженные в MaxPatrol SIEM ранее, пополняются правилами по мере появления новых способов атак. Эксперты Positive Technologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании Positive Technologies. — Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры».

    Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы.

    Продукты

    Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
    Телефон: (926) 212-60-97.
    E-mail: info@avtprom.ru или avtprom@ipu.ru

    © ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.

    РассылкиSubscribe.Ru
    Автоматизация в
    промышленности