В MaxPatrol SIEM добавили правила выявления атак шифровальщиков
Специалисты Positive Technologies обновили пакеты экспертизы для MaxPatrol SIEM, суммарно добавив 62 правила корреляции. Их использование в числе прочего позволит обнаружить типовые действия программ-шифровальщиков и вовремя пресечь атаку.
Расширен список признаков присутствия уже детектируемых инструментов взлома —PPLBlade, Powermad, NimExec, SharpHound. Новые правила помогут выявить применение таких популярных техник, как загрузка сторонних DLL и подмена ID родительского процесса, а также тактик уклонения от обнаружения по матрице MITRE ATT&CK.
Обновления получили следующие пакеты экспертизы:
«Атаки с помощью специализированного ПО», «Атаки методом перебора», «Расследование запуска процессов в Windows», «Сетевые устройства. Индикаторы компрометации».
«Опыт расследований PT Expert Security Center показывает: инциденты, связанные с шифрованием или затиранием данных на узлах корпоративной инфраструктуры, были одними из наиболее часто встречающихся в 2021–2023 годах (21% случаев), — подчеркнул Никита Баженов, младший специалист базы знаний и ИБ-экспертизы PT. — С обновленным пакетом экспертизы пользователи MaxPatrol SIEM смогут остановить атаку на ранней стадии и оперативно расследовать инцидент».
Новые правила обнаружения угроз доступны пользователям MaxPatrol SIEM версий 7.0 и выше. Остальным придется произвести апгрейд и лишь после этого установить обновления экспертизы.