MaxPatrol SIEM профилирует активность пользователей в инфраструктуре

В системе мониторинга событий информационной безопасности MaxPatrol SIEM доступны 44 новых правила корреляции, которые профилируют действия пользователей в инфраструктуре и выявляют нетипичные для нее подключения к корпоративным узлам и сервисам. Продукт отслеживает доступ к компьютерам топ-менеджмента и разработчиков, контроллерам доменов, серверам GitLab, менеджерам паролей и другим приложениям.

«Наш опыт проведения киберучений показал, что профилирование доступа к критически важным узлам — это единственный способ обнаружить авторизацию в корпоративных сервисах с ранее неизвестных IP-адресов и устройств и предотвратить атаку на ранней стадии в случае, если произошла утечка и в сети появился дамп учетных данных. Такие отклонения, как правило, указывают, что учетную запись сотрудника захватили киберпреступники, удаленно подключились к инфраструктуре и перемещаются внутри нее, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies . — С новым пакетом экспертизы операторы MaxPatrol SIEM получили возможность ловить нетипичную активность, которая может казаться легитимной по общим признакам, но быть аномальной для конкретной инфраструктуры, а значит, представлять угрозу безопасности».

С помощью новых правил продукт анализирует авторизацию пользователей на целевых узлах инфраструктуры и в различных приложениях, среди которых серверы GitLab, продукты компании «1С», менеджеры паролей и контроллеры доменов, а также компьютеры топ-менеджеров, разработчиков и других критически важных пользователей, захват которых может позволить злоумышленникам реализовать недопустимые для компании события.

Всего реализовано три режима профилирования:

• пассивный сбор информации о том, какими корпоративными сервисами пользуется каждый сотрудник (не предусматривает срабатывание правил корреляции);
• автоматическое профилирование и оповещение о входе: MaxPatrol SIEM уведомляет о новых авторизациях в корпоративных сервисах и запоминает комбинации «IP-адрес устройства и имя пользователя» (в дальнейшем об этих событиях оператору не сообщается);
• строгое профилирование: сбор данных о действиях пользователей в инфраструктуре завершен, SIEM-система мгновенно оповещает аналитика ИБ о любом доступе, отклоняющемся от нормы.

Данные для составления профилей поступают из журналов прикладного ПО, а также из журналов auditd и Windows Security с конкретных узлов. В основе MaxPatrol SIEM лежит уникальная технология управления активами (security asset management), которая собирает данные обо всех активах и делает IT-инфраструктуру прозрачной для оператора. Продукт может автоматически определить критически значимые серверы в инфраструктуре и профилировать доступ пользователей к ним. Либо аналитик ИБ может вручную внести в таблицу узлы, обращения к которым ему важно отслеживать.

Функция профилирования активности доступна в MaxPatrol SIEM версии 7.0 и выше.

Кроме того, в MaxPatrol SIEM обновлены пакеты экспертизы для выявления атак по матрице MITRE ATT&CK. В частности, эксперты Positive Technologies разработали правила для обнаружения дампа процесса LSASS, в котором используются популярные среди злоумышленников хакерские утилиты PPLMedic и PPLFault, а также правило обогащения для дешифрования Base64 в строках запуска — его кодирование помогает атакующим скрывать свои действия.