Система мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM получила масштабное обновление экспертизы: в продукт было загружено около 70 новых правил обнаружения киберугроз. Кроме того, в системе появились механизмы, дополняющие события ИБ индикаторами компрометации (IoC), — это облегчает задачи аналитиков и до двух раз сокращает время на разбор инцидентов.

Самое большое обновление получили пакеты правил, выявляющие атаки на Active Directory, а также атаки, при проведении которых используются такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Правила позволят обнаружить как новые техники атак, например использование утилиты SOAPHound, так и те методы, которые злоумышленники уже применяют длительное время.

Сергей Щербаков, Специалист группы обнаружения атак на конечных устройствах, Positive Technologies: «У всех этих угроз есть кое-что общее — они требуют немедленного реагирования. MaxPatrol SIEM поможет вовремя обнаружить подозрительные действия и даст необходимый контекст для принятия дальнейших решений. Новые механизмы обогащения позволяют дополнять полезной информацией об индикаторах компрометации как корреляционные, так и нормализованные1 события. Добавленный контекст акцентирует внимание оператора MaxPatrol SIEM на наиболее важных из них, делает их поиск удобным и увеличивает скорость валидации подозрительных, вредоносных событий, что особенно важно при расследовании инцидентов ИБ».

Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM, позволят выявить:

  • Атаки на Microsoft Active Directory, связанные со службой сертификации (Active Directory Certificate Services, AD CS). Такие атаки входят в число наиболее успешно реализуемых. MaxPatrol SIEM выявляет атаки, в которых доступ к компонентам AD CS используется для удаленного выполнения кода и получения NTLM-хешей2 учетных записей. Кроме того, продукт обнаруживает атаки, в которых задействуются групповые политики Active Directory, позволяющие ИТ-администраторам централизованно управлять ролями пользователей и компьютерами. Злоумышленники могут использовать групповые политики, чтобы подменить программы, запустить нужные им процессы на устройствах или добавить учетные записи.
  • Новые инструменты киберпреступников. Так, продукт отслеживает активность утилиты SOAPHound, которая извлекает данные из среды Active Directory, не взаимодействуя напрямую с сервером LDAP3, чтобы оставаться вне поля зрения средств защиты.
  • Подозрительные обращения файлов к API4 мессенджера Telegram, замаскированные под легитимные действия. Это позволяет MaxPatrol SIEM обнаруживать C2-каналы5, которые злоумышленники используют для обмена данными со взломанными устройствами, загрузки вредоносных программ, перемещения украденной информации на свои серверы. 
  • Действия злоумышленников, направленные на завладение учетными данными и получение первоначального доступа к системам. Используя новые правила, MaxPatrol SIEM обнаруживает принудительную аутентификацию, в результате которой злоумышленники получают NTLM-хеши паролей. Затем киберпреступники могут попытаться аутентифицироваться в системе с помощью хешей или подобрать пароли в открытом виде. 
  • Эксплуатацию серии уязвимостей, получившей название Potato Vulnerabilities. Эти недостатки безопасности позволяют киберпреступникам повысить привилегии от сервисной учетной записи до системных прав. Для обнаружения таких активностей в MaxPatrol SIEM загружены пять новых правил.
     

Помимо прочего, в продукт были добавлены механизмы, дополняющие нормализованные события ИБ индикаторами компрометации, за счет чего повысилась точность обнаружения киберугроз. В MaxPatrol SIEM также появилась функция автоматического извлечения URL-адреса из интерфейса командной строки, которая распространяется на все корреляционные события6. Эти возможности упрощают задачи специалистов по сбору информации и позволяют им до двух раз сократить время на анализ каждого срабатывания. 

Чтобы воспользоваться новыми правилами и возможностями MaxPatrol SIEM, необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2).

  1. События ИБ, приведенные к нормализованному виду в соответствии с заранее заданными правилами. Все события, полученные из разных источников, преобразуются в единый формат для дальнейшего анализа.
  2. Уникальные наборы символов, сгенерированные на основе текстовых паролей от учетных записей. NTLM — протокол аутентификации, используемый в операционных системах Windows для проверки подлинности пользователей.
  3. Протокол быстрого доступа к каталогам, в которых хранятся данные о компании, пользователях, ИТ-активах и многом другом.
  4. Application programming interface — программный интерфейс приложения.
  5. Скрытые схемы взаимодействия с ИТ-активами жертв, используемые после получения первоначального доступа к системам.
  6. События ИБ, сигнализирующие о возможном нарушении безопасности с опорой на определенные правила обнаружения киберугроз.

_Источник: www.ptsecurity.com _Мета слова: _