Специалистам по ИБ больше не нужно создавать правила корреляции для ПО, которое пока не поддерживается MaxPatrol SIEM, например, для софта, которое авторизует пользователя в уникальную SCADA-систему или NGFW, разработанного специально под компанию. Если формулы нормализации составлены корректно, то на источник будут распространяться готовые правила, которые помогают детектировать различные классы активности:
- действия с пользователями, ролями, группами и подбор учетных данных;
- вход в систему критически важных пользователей или от имени учетных записей по умолчанию;
- доступ к критически важным данным;
- отключение или обход защитных механизмов;
- остановка работы сервиса или устройства;
- подозрительные объекты или действия — индикаторы компрометации (IoC) в строке user agent, обращения к подозрительным и вредоносным доменам и другие;
- выявленные сторонними средствами защиты информации угрозы и попытки атак.
Второе значительное изменение в продукте — новый пакет экспертизы для обработки событий ИБ, полученных от модуля MaxPatrol BAD, который применяется для определения уровня риска аномального поведения пользователей или сущностей в ИТ-инфраструктуре. Теперь при подключенном модуле MaxPatrol SIEM:
- выделяет и объединяет по общему признаку события, получившие высокий уровень риска (risk score) от MaxPatrol BAD: так специалисты по ИБ могут в первую очередь сосредоточиться на опасных угрозах;
- обнаруживает узлы, которые с высокой вероятностью подвержены вредоносной активности: об этом свидетельствует высокий risk score сразу у нескольких событий на одном узле;
- повышает важность события ИБ или признает его инцидентом при наличии высокого уровня риска от MaxPatrol BAD, используя модуль как систему второго мнения (second opinion);
- добавляет события с высокой оценкой риска в черный список, после чего они не могут быть случайно отнесены к ложным срабатываниям: это снижает вероятность того, что специалист по ИБ пропустит вредоносную активность.
Порог оценки риска, при достижении которого срабатывают новые правила, оператор может самостоятельно задавать через табличный список.
Еще один новый пакет экспертизы предназначен для выявления подозрительной сетевой активности с помощью протоколов NetFlow и IPFIX, поддерживаемых межсетевыми экранами нового поколения популярных вендоров. Использование этих протоколов увеличивает покрытие ИТ-инфраструктуры системой и позволяет получать подробную информацию о сетевом трафике. Новый пакет экспертизы расширяет возможности MaxPatrol SIEM в области обнаружения аномалий, позволяя улучшить общую безопасность сети, снизить риск утечки данных, сканирования сетевых узлов, подбора паролей (брутфорс), атак SYN-flood1 и других киберугроз.
Выпущенный ранее пакет экспертизы MaxPatrol SIEM для обнаружения атак на Unix-инфраструктуру пополнился правилами для выявления подозрительной активности в операционной системе FreeBSD, принадлежащей к семейству Unix. В частности, в систему были добавлены новые правила для обнаружения попыток взлома учетных записей путем подбора логина и пароля в ОС FreeBSD.
Масштабные обновления произошли также с пакетом экспертизы MaxPatrol SIEM, предназначенным для обнаружения активности вредоносного ПО. Эксперты Positive Technologies обновили правила корреляции для оптимизации их работы и повышения точности обнаружения событий безопасности. Также добавили новые правила, обнаруживающие работу вредоносного ПО. В частности, правило на обнаружение подозрительных вложений или спама в электронных письмах, массового заражения узлов вредоносным ПО, а также на выявление подозрительных действий в системных, серверных программах или офисных процессах.
Чтобы начать использовать правила, необходимо установить новые пакеты экспертизы и обновления уже загруженных.
- Одна из разновидностей DoS-атак атак типа «отказ в обслуживании».
