Новый пакет экспертизы MaxPatrol SIEM помогает обнаружить еще две тактики для развития атаки злоумышленниками

Теперь пользователи MaxPatrol SIEM могут выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактик «Повышение привилегий в системе» (Privilege escalation) и «Управление и контроль» (Command and control) по модели MITRE ATT&CK.

Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов.

Описание новых правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 23.