MaxPatrol SIEM выявляет подозрительные действия пользователей в Linux-системах

В систему выявления инцидентов MaxPatrol SIEM загружен третий пакет экспертизы [1] для выявления атак в операционных системах семейства Linux. Он позволит обнаружить действия, которые могут свидетельствовать о компрометации системы и развитии атаки на IT-инфраструктуру организации.

Новая серия правил дополняет два предыдущих пакета экспертизы, посвященных Linux-системам: для выявления подозрительной сетевой активности и изменений системных объектов . В состав пакета вошли правила обнаружения угроз, которые позволяют пользователям MaxPatrol SIEM выявить локальную разведку при входе в Linux-систему, просмотр содержимого чужих домашних каталогов, запуск команд для повышения привилегий и использование хакерских утилит для дальнейшего развития атаки.

Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования компании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 миллионов доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости.

«Новый пакет экспертизы — это расширение покрытия матрицы MITRE ATT&CK и укрепление еще одного эшелона защиты Linux-систем, — комментирует Кирилл Антоненко, руководитель отдела безопасности систем семейства Unix, Positive Technologies. — Злоумышленники могут попасть в систему различными способами, которые трудно отличить от легитимных действий пользователей и которые не вызывают срабатывания SIEM-систем. Но если они начнут проводить локальную разведку, пытаться повышать привилегии, закрепляться в системе или развивать атаку, правила корреляции в составе двух последних пакетов помогут вовремя это выявить и остановить атаку».

Новый пакет экспертизы доступен пользователям MaxPatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.

[1] Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.