Компания Positive Technologies сообщила о расширении функциональных возможностей программного комплекса MaxPatrol SIEM, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.
Платформа MaxPatrol SIEM собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.
Пользователи MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в систему загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.
Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Программный комплекс позволяет обнаружить активность киберпреступников во время их попыток получить список учётных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты в корпоративной сети.
«Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто. Если злоумышленники действуют под учётной записью реального сотрудника и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Новый пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений», — говорится в заявлении компании-разработчика MaxPatrol SIEM.
Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.
