Byte/RE ИТ-издание

MaxPatrol SIEM: выявление атак на Active Directory

Как объявила компании Positive Technologies, в систему управления ИБ-событиями MaxPatrol SIEM добавлены 26 новых правил обнаружения инцидентов, позволяющих выявлять продвинутые кибератаки на Microsoft Active Directory. Их использование делает возможным выявление атак на самых ранних стадиях, в том числе уже на этапе разведки. По заявлению компании, в конечном счете окно присутствия злоумышленника в инфраструктуре может быть сокращено до нескольких часов.

Создание специального пакета правил стало результатом работы экспертного центра безопасности (Expert Security Center) Positive Technologies: они проанализировали полный цикл атак на Active Directory и выявили цепочку событий ИБ и запросы в сетевом трафике, которые свидетельствуют о присутствии злоумышленников в инфраструктуре. Далее для автоматического анализа событий на наличие признаков таких атак и для уведомления ИБ-подразделения при помощи MaxPatrol SIEM был разработан пакет с алгоритмами обнаружения аномалий (правила корреляции). Теперь ИБ-специалисты, использующие систему, смогут выявлять атаки на Active Directory на стадии разведки, продвижения внутри сети и удаленного исполнения команд.

По опыту расследования инцидентов, отмечают в Positive Technologies, Microsoft Active Directory – главная цель во время любой атаки на корпоративные информационные системы. Его взлом позволяет получить неограниченный контроль в управлении учетными записями и компьютерами локальной сети. Злоумышленники и профессиональные пентестеры находят новые векторы атак на Active Directory, которые сложно обнаружить. За счет реализованной технологии передачи экспертизы в продукты компании-пользователи могут в режиме реального времени выявлять действия злоумышленника в своей инфраструктуре, даже при использовании ими новейших техник и инструментов для атаки.

Новые правила корреляции уже доступны в облачной базе знаний Positive Technologies Knowledge Base, посредством которой распространяется экспертиза в продукты и которая входит в MaxPatrol SIEM.

Вам также могут понравиться