MaxPatrol SIEM在专业技术方面得到重大升级

新的威胁检测规则已被添加到Positive Technologies的信息安全事件监控系统MaxPatrol SIEM。新的事件充实机制已经被引入：它们帮助信息安全分析师确认多达90%的事件，而不需要额外的数据请求。MaxPatrol SIEM现在可以检测到五种更流行的黑客工具的迹象--Sliver, NimPlant, Masky, PowerView 和 Evil-WinRM。

Positive Technologies的专家不断研究新的网络威胁，监测世界各地的黑客组织的活动，并研究他们的战术和技术。基于这些数据，专家们创建了威胁检测方法，并定期以专业知识包的形式传输给MaxPatrol SIEM。这使SIEM系统用户能够检测到当前的威胁，并及时应对网络犯罪分子，他们不断开发新的攻击工具，方法和技术，并改进以前创建的工具。

正点科技专家为MaxPatrol SIEM开发了信息安全事件丰富机制。这些机制独立搜索攻击发展过程中出现的动态数据，为信息安全分析人员提供正在启动的进程的完整背景（MaxPatrol SIEM中之前已经实现了自动进程链构建机制）。

该公司的专家已经更新了以前下载的软件包，以检测黑客工具和伪装。添加到MaxPatrol SIEM的新规则允许检测越来越流行的工具Sliver1和NimPlant2，试图利用Metasploit恶意软件的ProxyNotShell漏洞和Masky3、PowerView4和Evil-WinRM5框架的活动，这些仍然是网络犯罪分子武器库的一部分。

通过新的规则，MaxPatrol SIEM还可以检测到基础设施中隐藏攻击者的先进技术，包括：

- 运行没有扩展名的进程--用于绕过相关规则，这些规则考虑到了对具有.exe扩展名的进程的明确搜索，以及用于掩饰；

- 启动具有双扩展名的进程（.docx.exe）--这种方法被攻击者用于网络钓鱼；

- 下载用不具有有效签名状态的 Microsoft 证书签名的进程或库--攻击者试图用这种方式将他们的工具伪装成合法的 Microsoft 程序。

Positive Technologies的高级信息安全知识库和专业知识专家Petr Kovchunov说："MaxPatrol SIEM定期获得与公司最相关的威胁的独特专业知识。这些知识使能够识别复杂的有针对性的攻击，并在严重后果发生之前防止它们。每个专业知识包都有详细的描述，可直接从界面上获得：哪些规则在组合中，如何配置事件源，以及如何正确应对事件。攻击者正在引入新的技术，不断进行试验。他们已经开始更频繁地使用一些技术来绕过防御系统，并对SOC分析师进行伪装，所以在这次更新中，我们增加了一些规则来帮助检测这种技术。

作为重大检查更新的一部分，该产品还获得了一套新的规则，以帮助检测国内数据库管理系统ClickHouse6的可疑活动。该套件包括20多个相关规则，以帮助快速检测不同阶段的攻击，从侦察到试图从DBMS卸载数据或破坏数据。以前，MaxPatrol SIEM加载了规则集，用于检测对PostgreSQL、Oracle数据库、Microsoft SQL Server和MongoDB的攻击。

要开始使用新的规则和事件丰富机制，你需要更新MaxPatrol SIEM到7.0版本，并安装更新的检查包。

1.      免费软件，具有广泛的功能，从远程命令执行到权限升级。

2.      免费软件，功能与Sliver相似，但用Nim和Python编写。

3. 一个用于AD CS的攻击工具。

4. 一个用于攻击 Active Directory 的工具。

5.      专为红色团队设计的免费软件。攻击者用它来通过WinRM远程执行命令。

6.      柱状，开源分析型DBMS，允许对结构化大数据进行实时分析查询。