MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1518.001: Изучение средств защиты

Злоумышленники могут попытаться получить список программного обеспечения, конфигураций, средств защиты и датчиков, установленных в системе или облачной среде, например агентов мониторинга облачных сред и антивирусных программ. Злоумышленники могут использовать информацию, полученную при изучении средств защиты в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

Например, для получения информации о защитном ПО могут использоваться команды netsh, reg query в reg, dir в cmd и tasklist, однако могут производиться и другие разведывательные действия, более ориентированные на специфику программных решений или защитных систем, интересующих злоумышленника. Все чаще вредоносные программы для macOS проверяют наличие программ LittleSnitch и KnockKnock.

Злоумышленники также могут использовать облачный API для поиска облачных защитных решений, установленных в вычислительной инфраструктуре, — например, AWS CloudWatch, Azure VM Agent и агент Google Cloud Monitor. Эти агенты могут собирать с виртуальных машин метрики и журналы, которые могут централизованно агрегироваться в облачной платформе мониторинга.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-330: Security_State_Discovery: Обнаружена попытка получить информацию о состоянии средств защиты и мониторинга
unix_mitre_attck_discovery: PT-CR-1689: Unix_Security_Software_Discovery: Разведка систем защиты Unix-узла
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
mitre_attck_discovery: PT-CR-1717: AppLocker_Policies_Discovery: Пользователь получил информацию о политиках AppLocker, что может свидетельствовать о подготовке к обходу этих политик
mssql_database: PT-CR-407: MSSQL_audit_configuration_discovery: Попытка получить информацию о ведении аудита базы данных
mssql_database: PT-CR-415: MSSQL_encryption_configuration_discovery: Попытка получить информацию о шифровании базы данных

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may attempt to get a listing of security software, configurations, defensive tools, and sensors that are installed on a system or in a cloud environment.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitor for API calls that may attempt to get a listing of security software, configurations, defensive tools, and sensors that are installed on a system or in a cloud environment. OS API calls associated with LSASS process dumping include EnumProcesses, which can be used to enumerate the set of processes running on a host and filtered to look for security-specific processes.

Note: Most EDR tools do not support direct monitoring of API calls due to the sheer volume of calls produced by an endpoint but may have alerts or events that are based on abstractions of OS API calls. Dynamic malware analysis tools (i.e., sandboxes) can be used to trace the execution, including OS API calls, for a single PE binary.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may attempt to get a listing of security software, configurations, defensive tools, and sensors that are installed on a system or in a cloud environment.

Note: For Windows, Event ID 4104 (from the Microsoft-Windows-Powershell/Operational log) captures Powershell script blocks, which can be analyzed and used to detect on potential Security Software Discovery.

IDDS0018Источник и компонент данныхМежсетевой экран: Метаданные межсетевого экранаОписание

Monitor for contextual data about a firewall and activity around it such as name, policy, or status

IDDS0018Источник и компонент данныхМежсетевой экран: Перечисление компонентов межсетевых экрановОписание

Monitor for an extracted list of available firewalls and/or their associated settings/rules (ex: Azure Network Firewall CLI Show commands)