MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: 15 правил корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

Это первый пакет экспертизы из специальной серии, которую создадут специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center). Каждый из пакетов выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Более подробное описание первого пакета из серии читайте в документе «Описание пакета экспертизы №7».

Подробная инструкция по установке и использованию пакета экспертизы доступна в документе «Пакет экспертизы № 7. Выявление атак, использующих тактики "Выполнение" и "Обход защиты" (по классификации MITRE ATT&)».