Добавлены новые правила корреляции для безопасности Linux-инфраструктур.
В систему мониторинга событий информационной безопасности и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA - службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки злоумышленников получить доступ к инфраструктуре.
В связи с уходом иностранных IT-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
FreeIPA представляет собой контроллер домена для Linux-систем, позволяющий централизованно управлять учётными записями, политиками доступа и аудита. Является альтернативой Active Directory от Microsoft.
С помощью новых правил MaxPatrol SIEM среди прочего выявляет:
На основе FreeIPA построены другие IT-решения. Так, в Astra Linux, одной из наиболее популярных российских операционных систем, на нем реализована служба каталога ALD Pro.
Для того, чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить правила из пакета экспертизы.
Одно найти легче, чем другое. Спойлер: это не темная материя