MaxPatrol SIEM выявляет попытки атакующих получить учетные данные

В MaxPatrol SIEM загружены 19 новых правил для обнаружения атак, нацеленных на получение учетных данных (Credential Access). Это четвертый пакет экспертизы из специальной серии для покрытия тактик модели MITRE ATT&CK. С его помощью пользователи MaxPatrol SIEM смогут предотвратить получение злоумышленниками легитимных учетных данных, которое в случае успеха атаки усложнило бы возможность обнаружения атакующих в системе.

«Credential Access — один из самых эффективных инструментов в арсенале атакующих, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Получив доступ хотя бы к одному сетевому узлу, они применяют отлаженный сценарий для дальнейшего продвижения в инфраструктуре. Злоумышленники получают содержимое памяти процессов или файлов и используют полученные оттуда учетные данные для доступа к другим системам. Остановить такое продвижение может только своевременная реакция команды ИБ, обнаружившей применение техник кражи учетных данных, и сегментация сети».

Подробное руководство по настройке и использованию новых правил — Пакет экспертизы № 13. Выявление атак, использующих тактику «Получение учетных данных»(по классификации MITRE ATT&CK)».