Компания Positive Technologies продолжает прорабатывать модель техник атак MITRE ATT&CK и пополнять MaxPatrol SIEM соответствующими пакетам экспертизы. К имеющимся уже пакетам на выявление запуска и выполнения ВПО (Execution), обхода защиты (Defense Evasion), горизонтального перемещения, закрепления, брутфорса (Brute Force), добавилось обновление о получении учетных данных или Credentials Access. Пакет включает в себя правила выявления трех основных типов манипуляций:
- Credential Dumping – получение учетных данных из системы, включая манипуляции с Windows SAM, Local Security Authority (LSA) Secrets, Group Policy Preference (GPP) и др.
- Credentials in Files – поиск учетной информации в файловой системе пользователя.
- Credentials in Registry – запрос реестра Windows для поиска учетной информации.
Обновление традиционно доступно в базе знаний MaxPatrol SIEM.
