Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек запускаемых процессов
Новый пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает любое скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий эффективнее выявлять активность злоумышленников, отображается в карточке события.
В SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.
Новый механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов, что существенно облегчает работу аналитиков ИБ. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события.
Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp[1], Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM[2], которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.
Цепочка процессов MaxPatrolSIEM
Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK[3]. Добавленные в MaxPatrol SIEM правила позволяют выявлять:
- применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
- эксплуатацию уязвимости в алгоритме шифрования RC4, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.
«Пакеты экспертизы, загруженные в MaxPatrolSIEM ранее, пополняются правилами по мере появления новых способов атак. Эксперты PositiveTechnologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании PositiveTechnologies. — Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coercedauthentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры».
Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы.
[1] Принадлежит компании Meta Platforms, Inc., признанной экстремистской организацией, деятельность которой запрещена в России.
[2] System center configuration manager, средство для управления ИТ-инфраструктурой.
[3] База знаний с описанием тактик, техник и процедур атак злоумышленников.
Positive Technologies — ведущий разработчик решений для информационной безопасности. Уже 21 год наша основная задача — предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии и сервисы используют более 2900 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400». Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). Следите за нами в соцсетях (Telegram, ВКонтакте, Twitter, Хабр) и в разделе «Новости» на сайте ptsecurity.com, а также подписывайтесь на телеграм-канал IT's positive investing.
похожие материалы
Обзор кибератак и уязвимостей за прошедшую неделю 9 - 13 февраля 2026
Редакция Cyber Media собрала для вас главные события уходящей недели: среди нашумевших инфоповодов - снижение числа IT-преступлений в России, крупная ошибка в системе криптовалютной биржи Bithumb, приведшая с колоссальным финансовым последствиям, уязвимость в libpng с 30-летней историей, растущие темпы кибератак на инженеров, и неутешительные прогнозы Microsoft про быструю автоматизацию рутинной работы ИИ.
Дьявольская мышь за $44: как взломать компьютер за несколько секунд
Исследователи продемонстрировали устройство EvilMouse - внешне обычную USB-мышь, которая при подключении к компьютеру автоматически выполняет вредоносные команды и может открыть злоумышленнику доступ к системе с повышенными правами.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта».
OpenAI vs DeepSeek: американский гигант обвинил китайцев в копировании ИИ через «дистилляцию» моделей
Компания OpenAI направила служебную записку в Специальный комитет Палаты представителей США по стратегической конкуренции с Китаем, в которой обвинила китайский стартап DeepSeek в использовании «методов дистилляции» для обучения собственных моделей на основе выходных данных американских ИИ-систем.
Хактивисты Head Mare используют новый вредонос PhantomHeart и активнее автоматизируют кибератаки
В конце 2025 года аналитики Cyber Threat Intelligence из «Лаборатории Касперского» обнаружили новую волну целевых кибератак хактивистов Head Mare — на российские государственные структуры, строительные и промышленные предприятия.
Фейковые сайты «Европола» и «Интерпола» атакуют россиян
Компания CICADA8 сообщила о резком росте числа фишинговых ресурсов, которые выдают себя за официальные сайты Европола и Интерпола.
Пенсионеры бьют тревогу: мошенники переключились на стационарные телефоны
Злоумышленники начали активно использовать стационарные телефоны для обмана россиян.
«Белые воротнички» под ударом: директор по ИИ Microsoft прогнозирует автоматизацию большинства рабочих задач
В течение 1-1,5 года большинство рабочих задач «белых воротничков» будут полностью автоматизированы с помощью искусственного интеллекта, заявил генеральный директор Microsoft по ИИ Мустафа Сулейман.
«Газинформсервис» выступит партнёром Уральского форума «Кибербезопасность в финансах»
18–20 февраля в Екатеринбурге пройдёт Уральский форум «Кибербезопасность в финансах», компания «Газинформсервис» — партнёр мероприятия — представит свои решения в сфере ИБ и ИТ, а также поучаствует в одной из сессий.
Есть куда расти: эксперты оценили уровень зрелости ИБ российских компаний
Эксперты бизнес-направления AKTIV CONSULTING Компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности».