Обновление позволяет повысить защиту информации и оперативность реагирования на угрозы информационной безопасности организации. Новые механизмы позволяют быстрее и эффективнее реагировать на потенциальные атаки и облегчают работу аналитиков.
Изменения в MaxPatrol SIEM
В функциональность системы были интегрированы:
- Новые правила выявления актуальных киберугроз. Специалисты обновили порядка 70 правил и уделили особое внимание тем, которые связаны с выявлением новых методик атак. Были внесены значительные изменения в правила выявления атак на Active Directory, а также тактикам «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Вместе с тем, система также способна эффективно выявлять и старые техники.
- Механизмы, которые добавляют к стандартным событиям безопасности индикаторы компрометации. Это улучшает процесс выявления киберугроз и повышает эффективность защиты данных.
- Функцию выделения URL-адреса из командной строки. Эта функция дает возможность детально исследовать события, сигнализирующие о вероятной угрозе.
Новые возможности по выявлению уязвимостей
MaxPatrol SIEM оперативно выявляет попытки несанкционированного доступа и предотвращает утечку конфиденциальной информации. Внедрение новых правил усилит возможности выявления множество уязвимостей, которые могут применяться для атак на сети предприятий:
- Атаки на Microsoft Active Directory. В рамках таких атак совершаются попытки получения доступа к службе сертификации AD с целью удаленного запуска скрипта и извлечения NTLM-хешей или использования групповых политик для манипуляции учетными записями и запуска вредоносных программ.
- Новые средства, используемые киберпреступниками для проведения атак. Система мониторит активность инструмента SOAPHound, который получает данные из среды Active Directory, не используя протокол LDAP для доступа к серверу. Такой метод позволяет утилите быть незамеченной средствами защиты.
- Манипуляции с приложениями мессенджера Telegram, которые маскируются под обычные действия. Это является серьезной угрозой, так как преступники могут использовать C2-каналы для запуска вредоносного кода на взломанном устройстве и краже с него информации.
- Обход систем безопасности и извлечение NTLM-хешей паролей через принудительную аутентификацию. После получения данных авторизации киберпреступники могут использовать различные методы для взлома паролей.
- Уязвимости под названием Potato Vulnerabilities, которые могут быть использованы для расширения привилегий от обычной учетной записи до административных прав на системном уровне.
Перечисленные возможности доступны для MaxPatrol SIEM версии 7.2. и старше. Установка экспертных правил из пакета экспертизы - необходимый шаг для повышения уровня безопасности и эффективности работы вашей ИТ-инфраструктуры.