Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек запускаемых процессов

🔄 Новый пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам информационной безопасности экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события. Также наши эксперты обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять: 🔸применение техник LSASS Shtinkering и Dirty Vanity, которые появились в арсенале злоумышленников в декабре 2022 года; 🔸эксплуатацию уязвимости в реализации способа использования алгоритма RC4 совместно с протоколом Kerberos, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows. 💬 «Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры», — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies Подробнее о том, как механизм построения цепочек запускаемых процессов в MaxPatrol SIEM помогает выявлять атакующих в сети, — читайте в нашем материале на Хабре: #PositiveПродукты #MaxPatrolSIEM