Новый пакет экспертизы MaxPatrol SIEM (система мониторинга событий ИБ и выявления инцидентов) включил автоматический вайтлистинг — механизм автоматического исключения ложных срабатываний правил корреляции. За счет оптимизации рутинных задач аналитики ИБ могут экономить до 250 человеко-часов в неделю при анализе срабатываний и отборе реальных инцидентов, а также быстрее адаптировать SIEM-систему под свою инфраструктуру при внедрении.
«В инфраструктурах работает бесчисленное количество программ, а обычные пользователи ежедневно совершают миллионы действий, которые продуктам ИБ нужно отличать от активности злоумышленников. При этом любое средство защиты может генерировать ложноположительные срабатывания, то есть ошибочно признавать активность нелегитимной. Необходимость работы с false positive — известный факт, с которым сталкиваются пользователи различных продуктов для ИБ, в том числе SIEM-систем. Так, по данным опроса Center for Long-Term Cybersecurity, 36% специалистов отмечают, что получают слишком много ложных срабатываний при использовании фреймворков ATT&CK. В результате аналитикам приходится обрабатывать срабатывания правил корреляции и вручную отсеивать false positive. Это трудозатратный процесс: из-за большого количества false positive возрастает риск пропустить кибератаку, — отмечает Юлия Фомина, старший специалист отдела экспертных сервисов и развития SOC, Positive Technologies. — В MaxPatrol SIEM добавлен механизм, который позволяет автоматически добавлять в исключения легитимную повторяющуюся активность».
В белый список помещаются только те ключи выявленных событий, которые были обнаружены неоднократно. После этого MaxPatrol SIEM считает активность типичной для конкретной инфраструктуры и больше не выдает срабатывания. В числе специально недетектируемых событий могут быть, например, фоновая активность операционной системы, работа скриптов администрирования, регулярный запуск процессов по расписанию, в частности проверка инфраструктуры сканерами безопасности или работа сборочных агентов.
Автоматический вайтлистинг предусматривает и случаи с повторяющимися инцидентами сложного характера, например при внутренних систематических нарушениях политики ИБ. Сначала механизм до пяти раз помечает срабатывания как возможные ложноположительные, помещая их в предназначенный для этого временный табличный список, оператору SOC следует занести такие события в черный список по одному или нескольким критериям (имя узла, имя пользователя или ключ срабатывания).
Кроме того, в MaxPatrol SIEM по-прежнему есть возможность добавлять исключения с помощью шаблонов, подготовленных экспертами Positive Technologies. Шаблоны — это механизм, позволяющий оператору по клику из карточки события заносить определенные поля в табличные списки для вайтлистинга, блэклистинга, выявления индикаторов компрометации и прочего.
«Чтобы средство защиты подстроилось под особенности инфраструктуры, при внедрении SIEM-систем аналитикам приходится несколько месяцев вручную писать исключения для правил корреляции, — комментирует Петр Ковчунов, специалист отдела разработки базы знаний, Positive Technologies. — В MaxPatrol SIEM можно включить автоматический вайтлистинг, который выявит однотипные и повторяющиеся активности, признает их естественными для вашей инфраструктуры и перестанет оповещать о них операторов. Разработанный нами механизм сейчас не имеет аналогов на российском рынке SIEM-решений и помогает автоматизировать работу центров мониторинга ИБ (SOC). Он повышает эффективность MaxPatrol SIEM и, как следствие, позволяет разгрузить аналитиков. Освободившееся время они могут уделить тем задачам, где экспертов заменить невозможно, например проактивному поиску угроз и расследованию инцидентов».
Чтобы начать использовать автоматический вайтлистинг, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы. 15 декабря специалисты Positive Technologies подробно расскажут, как работать с этим пакетом: о реагировании на ложные срабатывания правил MaxPatrol SIEM, технических аспектах механизма работы с исключениями, а также о выделении и последующем использовании индикаторов компрометации. Для участия в вебинаре зарегистрируйтесь по ссылке.