В MaxPatrol SIEM доступны 44 новых правила корреляции, профилирующие действия пользователей в инфраструктуре.
В системе мониторинга событий информационной безопасности Для просмотра ссылки Войдиили Зарегистрируйся доступны 44 новых правила корреляции, которые профилируют действия пользователей в инфраструктуре и выявляют нетипичные для нее подключения к корпоративным узлам и сервисам. Продукт отслеживает доступ к компьютерам топ-менеджмента и разработчиков, контроллерам доменов, серверам GitLab, менеджерам паролей и другим приложениям.
«Наш опыт проведения киберучений показал, что профилирование доступа к критически важным узлам — это единственный способ обнаружить авторизацию в корпоративных сервисах с ранее неизвестных IP-адресов и устройств и предотвратить атаку на ранней стадии в случае, если произошла утечка и в сети появился дамп учетных данных. Такие отклонения, как правило, указывают, что учетную запись сотрудника захватили киберпреступники, удаленно подключились к инфраструктуре и перемещаются внутри нее, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies . — С новым пакетом экспертизы операторы MaxPatrol SIEM получили возможность ловить нетипичную активность, которая может казаться легитимной по общим признакам, но быть аномальной для конкретной инфраструктуры, а значит, представлять угрозу безопасности».
С помощью новых правил продукт анализирует авторизацию пользователей на целевых узлах инфраструктуры и в различных приложениях, среди которых серверы GitLab, продукты компании «1С», менеджеры паролей и контроллеры доменов, а также компьютеры топ-менеджеров, разработчиков и других критически важных пользователей, захват которых может позволить злоумышленникам реализовать недопустимые для компании события.
Всего реализовано три режима профилирования:
Функция профилирования активности доступна в MaxPatrol SIEM версии 7.0 и выше.
Кроме того, в MaxPatrol SIEM обновлены пакеты экспертизы для выявления атак по матрице MITRE ATT&CK. В частности, эксперты Positive Technologies разработали правила для обнаружения дампа процесса LSASS, в котором используются популярные среди злоумышленников хакерские утилиты PPLMedic и PPLFault, а также правило обогащения для Для просмотра ссылки Войдиили Зарегистрируйся Base64 в строках запуска — его кодирование помогает атакующим скрывать свои действия.
В системе мониторинга событий информационной безопасности Для просмотра ссылки Войди
«Наш опыт проведения киберучений показал, что профилирование доступа к критически важным узлам — это единственный способ обнаружить авторизацию в корпоративных сервисах с ранее неизвестных IP-адресов и устройств и предотвратить атаку на ранней стадии в случае, если произошла утечка и в сети появился дамп учетных данных. Такие отклонения, как правило, указывают, что учетную запись сотрудника захватили киберпреступники, удаленно подключились к инфраструктуре и перемещаются внутри нее, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies . — С новым пакетом экспертизы операторы MaxPatrol SIEM получили возможность ловить нетипичную активность, которая может казаться легитимной по общим признакам, но быть аномальной для конкретной инфраструктуры, а значит, представлять угрозу безопасности».
С помощью новых правил продукт анализирует авторизацию пользователей на целевых узлах инфраструктуры и в различных приложениях, среди которых серверы GitLab, продукты компании «1С», менеджеры паролей и контроллеры доменов, а также компьютеры топ-менеджеров, разработчиков и других критически важных пользователей, захват которых может позволить злоумышленникам реализовать недопустимые для компании события.
Всего реализовано три режима профилирования:
- пассивный сбор информации о том, какими корпоративными сервисами пользуется каждый сотрудник (не предусматривает срабатывание правил корреляции);
- автоматическое профилирование и оповещение о входе: MaxPatrol SIEM уведомляет о новых авторизациях в корпоративных сервисах и запоминает комбинации «IP-адрес устройства и имя пользователя» (в дальнейшем об этих событиях оператору не сообщается);
- строгое профилирование: сбор данных о действиях пользователей в инфраструктуре завершен, SIEM-система мгновенно оповещает аналитика ИБ о любом доступе, отклоняющемся от нормы.
Функция профилирования активности доступна в MaxPatrol SIEM версии 7.0 и выше.
Кроме того, в MaxPatrol SIEM обновлены пакеты экспертизы для выявления атак по матрице MITRE ATT&CK. В частности, эксперты Positive Technologies разработали правила для обнаружения дампа процесса LSASS, в котором используются популярные среди злоумышленников хакерские утилиты PPLMedic и PPLFault, а также правило обогащения для Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru