Новый пакет экспертизы MaxPatrol SIEM повышает точность выявления попыток брутфорса

Новый пакет экспертизы MaxPatrol SIEM повышает точность выявления попыток брутфорса

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы, позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля.

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы [1], позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля. Правила корреляции, вошедшие в пакет, позволили повысить точность выявления инцидентов, связанных с брутфорсом, и снизить потребление памяти системы на 20%.

Специалисты компании Positive Technologies пересмотрели концепцию идентификации брутфорса. В результате написаны правила, которые помогут пользователям MaxPatrol SIEM выявлять попытки взлома, используя минимальное количество информации: данные о попытках аутентификации, объектах и субъектах брутфорса и особенностях инфраструктуры.

Если атака на конкретный субъект или с конкретного объекта продолжительная, MaxPatrol SIEM создаст один инцидент за сутки (частоту создания можно менять), а в самом инциденте сохранит статистику обо всех попытках подбора учетных данных, связанных с участниками атаки. Это снижает число уведомлений, значительно упрощает и ускоряет анализ инцидента.

С новым пакетом экспертизы появилась возможность создавать белые списки сетевых узлов и пользователей, которые используют техники перебора логина и пароля в легитимных целях, и автоматически отключать срабатывания правил по инцидентам с их участием. Например, в их числе могут оказаться узлы сканеров уязвимостей, разделяемые учетные записи, сетевые узлы в DMZ.

Новые правила были оптимизированы с целью более равномерного распределения нагрузки между компонентами MaxPatrol SIEM и протестированы на потоке в 30 000 событий в секунду. В итоге потребление памяти снижено на 20% в сравнении с обработкой аналогичного потока событий предыдущими правилами корреляции.


[1] Поставка пакетов экспертизы в MaxPatrol SIEM ─ это регулярная автоматизированная передача знаний в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.