Новый источник данных в MaxPatrol SIEM теперь можно подключить в два раза быстрее

Positive Technologies непрерывно повышает результативность системы мониторинга событий информационной безопасности MaxPatrol SIEM. Главные нововведения в экспертизе продукта — подключить новый источник в MaxPatrol SIEM теперь можно в два раза быстрее. Помимо этого, ML-модуль поведенческого анализа Behavioral Anomaly Detection (BAD) — MaxPatrol BAD помогает оператору SOC приоритизировать работу с наиболее критичными инцидентами, а новые пакеты экспертизы позволили расширить возможности системы по детектированию активности вредоносного ПО, атак на Unix-инфраструктуру и подозрительной сетевой активности.

Команда MaxPatrol SIEM продолжает движение в сторону повышения результативности системы. Так, для того чтобы компании, использующие MaxPatrol SIEM, могли получать результат работы еще быстрее, эксперты Positive Technologies разработали универсальные правила обнаружения атак для новых источников.

«На поддержку нового источника в MaxPatrol SIEM обычно уходит около месяца: специалисты по ИБ разворачивают стенд системы, исследуют узел, получают с него события, пишут для них правила нормализации, корреляции и обогащения, — отмечает Сергей Щербаков, старший специалист группы обнаружения продвинутых атак, Positive Technologies. —  Теперь этот процесс ускорился в два раза, так как больше нет необходимости создавать правила корреляции для нераспространенного, но нужного компании ПО. Достаточно подключить источник к MaxPatrol SIEM и, следуя рекомендациям экспертов Positive Technologies, написать правила нормализации, к которым добавится экспертиза "из коробки"».

Специалистам по ИБ больше не нужно создавать правила корреляции для ПО, которое пока не поддерживается MaxPatrol SIEM, например, для софта, которое авторизует пользователя в уникальную SCADA-систему или NGFW, разработанного специально под компанию. Если формулы нормализации составлены корректно, то на источник будут распространяться готовые правила, которые помогают детектировать различные классы активности:

1. действия с пользователями, ролями, группами и подбор учетных данных;
2. вход в систему критически важных пользователей или от имени учетных записей по умолчанию;
3. доступ к критически важным данным;
4. отключение или обход защитных механизмов;
5. остановка работы сервиса или устройства;
6. подозрительные объекты или действия — индикаторы компрометации (IoC) в строке user agent, обращения к подозрительным и вредоносным доменам и другие;
7. выявленные сторонними средствами защиты информации угрозы и попытки атак.

Второе значительное изменение в продукте — новый пакет экспертизы для обработки событий ИБ, полученных от модуля MaxPatrol BAD, который применяется для определения уровня риска аномального поведения пользователей или сущностей в ИТ-инфраструктуре. Теперь при подключенном модуле MaxPatrol SIEM:

• выделяет и объединяет по общему признаку события, получившие высокий уровень риска (risk score) от MaxPatrol BAD: так специалисты по ИБ могут в первую очередь сосредоточиться на опасных угрозах;
• обнаруживает узлы, которые с высокой вероятностью подвержены вредоносной активности: об этом свидетельствует высокий risk score сразу у нескольких событий на одном узле;
• повышает важность события ИБ или признает его инцидентом при наличии высокого уровня риска от MaxPatrol BAD, используя модуль как систему второго мнения (second opinion);
• добавляет события с высокой оценкой риска в черный список, после чего они не могут быть случайно отнесены к ложным срабатываниям: это снижает вероятность того, что специалист по ИБ пропустит вредоносную активность.

Порог оценки риска, при достижении которого срабатывают новые правила, оператор может самостоятельно задавать через табличный список.

Еще один новый пакет экспертизы предназначен для выявления подозрительной сетевой активности с помощью протоколов NetFlow и IPFIX, поддерживаемых межсетевыми экранами нового поколения популярных вендоров. Использование этих протоколов увеличивает покрытие ИТ-инфраструктуры системой и позволяет получать подробную информацию о сетевом трафике. Новый пакет экспертизы расширяет возможности MaxPatrol SIEM в области обнаружения аномалий, позволяя улучшить общую безопасность сети, снизить риск утечки данных, сканирования сетевых узлов, подбора паролей (брутфорс), атак SYN-flood[1] и других киберугроз.

Выпущенный ранее пакет экспертизы MaxPatrol SIEM для обнаружения атак на Unix-инфраструктуру пополнился правилами для выявления подозрительной активности в операционной системе FreeBSD, принадлежащей к семейству Unix.  В частности, в систему были добавлены новые правила для обнаружения попыток взлома учетных записей путем подбора логина и пароля в ОС FreeBSD.

Масштабные обновления произошли также с пакетом экспертизы MaxPatrol SIEM, предназначенным для обнаружения активности вредоносного ПО. Эксперты Positive Technologies обновили правила корреляции для оптимизации их работы и повышения точности обнаружения событий безопасности. Также добавили новые правила, обнаруживающие работу вредоносного ПО. В частности, правило на обнаружение подозрительных вложений или спама в электронных письмах, массового заражения узлов вредоносным ПО, а также на выявление подозрительных действий в системных, серверных программах или офисных процессах.

Чтобы начать использовать правила, необходимо установить новые пакеты экспертизы и обновления уже загруженных.