Positive Technologies 专家更新了他们的产品专业知识。

MaxPatrol SIEM 扩展了其威胁检测功能 – 产品中添加了 62 条新规则。在他们的帮助下，信息安全事件监控系统能够检测勒索软件的活动，甚至更多黑客工具运行的迹象。

这些更新影响了以下功能包：

• “使用专门软件进行攻击”
• “暴力攻击”
• “Windows 中进程启动的调查”，
• “网络设备。妥协指标”，
• 战术：获取凭证、执行、防止检测、数据收集、破坏性影响、进入边界、巩固、提升特权、组织控制、探索。

网络犯罪分子不断改进他们的攻击方法并创建新工具，以保持对防御系统的隐形。Positive Technologies专家持续监控网络攻击趋势，研究恶意软件和工具开发和销售的专门论坛，并分析公共事件调查报告（包括我们自己的安全专家中心发布的报告）。根据有关攻击者如何攻击的当前数据，Positive Technologies 定期更新其在 MaxPatrol SIEM 中的专业知识。

在已发布的更新中最重要的规则中，MaxPatrol SIEM 用户可能会发现：

• 勒索软件的典型行为，例如批量创建文件或通过同一进程修改文件；
• 先前检测到的黑客工具活动的其他迹象；其中，例如 PPLBlade、Powermad、NimExec 和 SharpHound，目前仍被积极用于攻击；
• 流行的技术“加载第三方 DLL”（恶意软件和 APT 组织利用它来渗透网络并升级权限）和“欺骗父 PID”（攻击者用来通过更改进程的父进程来隐藏恶意活动）策略“阻止通过 MITRE ATT&CK 矩阵进行检测”。

据 PT 专家安全中心称，2021 年至 2023 年，21% 的事件 与企业基础设施节点上的数据加密或删除有关。最常见的勒索软件是 Black Basta、Rhysida 和 LockBit，勒索软件运营商不断扩大其武器库。Positive Technologies 指出，勒索软件迅速从一个节点传播到另一个节点。“通过更新的取证包，MaxPatrol SIEM 用户将收到有关第一台计算机受到勒索软件攻击的信号。通过及时清除病毒，他们将能够及早阻止攻击并及时调查事件。”该公司补充道。