Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек запускаемых процессов

Новый пакет экспертизы MaxPatrol SIEM , включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает любое скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий эффективнее выявлять активность злоумышленников, отображается в карточке события.

В SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.

Новый механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов, что существенно облегчает работу аналитиков ИБ. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события.

Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp*, Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM, которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.

Цепочка процессов MaxPatrol SIEM

Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять:

• применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
• эксплуатацию уязвимости в реализации способа использования алгоритма RC4 совместно с протоколом Kerberos, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.

«Пакеты экспертизы, загруженные в MaxPatrol SIEM ранее, пополняются правилами по мере появления новых способов атак. Эксперты Positive Technologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании Positive Technologies. — Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры».

Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы.

*Принадлежит компании Meta Platforms, Inc., признанной экстремистской организацией, деятельность которой запрещена в России.