我们在 MaxPatrol SIEM 信息安全事件监控系统中新增了 62 条威胁检测规则

 网络犯罪分子每天都在改进其攻击方法，开发新工具，以确保他们的行为不被防御手段所发现。

我们的专家持续监控网络攻击趋势，研究恶意软件和工具开发与销售方面的专业论坛，并分析事件调查公开报告。根据最新数据，专家定期更新 MaxPatrol SIEM 的专业知识。

 已发布的更新中最重要的规则允许进行下列检测：

• 勒索软件的典型操作，如通过同一程序大量生成或修改文件。与企业基础设施节点勒索或数据清除相关的事件在 2021 至 2023 年间最为常见（根据 Positive Technologies 专家安全中心 (PT Expert Security Center) 的调查数据）。

• 先前已被检测器覆盖的黑客工具活动的其他迹象。例如，PPLBlade、Powermad、NimExec 和 SharpHound，它们仍常被应用于攻击。

• MITRE ATT&CK 框架“防检测”策略的常用技术“加载第三方 DLL 库”（恶意软件和 APT 组织利用其来渗透网络并提升权限）和“父 PID 欺骗”（攻击者通过改变进程的父进程来隐藏恶意活动）。

“勒索软件的特点是其能迅速从一个节点传播到其他节点。有了更新的检验包，MaxPatrol SIEM 用户将在第一台计算机受到勒索软件攻击时立即收到警报。通过及时清除病毒，他们将能够在早期阶段阻止攻击并迅速调查事件”，Positive Technologies 公司知识库和信息安全检验初级专家尼基塔·巴热诺夫指出。

#MaxPatrolSIEM

@Positive_Technologies