Российский SIEM для американского облака: парадокс нового обновления MaxPatrol

Компания Positive Technologies объявила о расширении возможностей системы мониторинга событий информационной безопасности MaxPatrol SIEM. Продукт научился контролировать безопасность ресурсов, размещенных в облачных сервисах Amazon Web Services (AWS) и Microsoft 365, а также отслеживать угрозы в Яндекс 360, контейнерных средах и службе каталогов «Альт Домен». Отдельные правила позволяют выявлять использование хакерской утилиты NetExec. Новая экспертиза уже доступна пользователям MaxPatrol SIEM.

По данным Synergy Research Group, Amazon и Microsoft занимают около половины мирового рынка облачных решений. AWS используют для размещения сайтов, хранения архивов, аналитики больших данных и работы облачных приложений. Microsoft 365 объединяет офисные программы, OneDrive и другие сервисы для совместной работы с файлами. Атаки на такие платформы грозят утечкой данных сотрудников и клиентов, распространением вредоносного ПО и дальнейшим продвижением злоумышленника по корпоративной инфраструктуре.

Чтобы снизить эти риски, эксперты центра безопасности PT ESC добавили в MaxPatrol SIEM 35 новых правил для детектирования подозрительной активности в AWS и Microsoft 365. Система отслеживает нелегитимные действия, например создание приложений и назначение необычных разрешений, массовое копирование или удаление контента, добавление сертификатов, секретов и привилегированных учетных записей. Это помогает сотрудникам SOC быстрее замечать попытки эксфильтрации данных и закрепления злоумышленника в сети компании и останавливать развитие атаки на ранних этапах.

Кроме того, MaxPatrol SIEM получила расширенную поддержку сервисов, которые российские компании используют для организации работы и корпоративного доступа. Продукт стал одной из первых российских SIEM, которая собирает и обрабатывает события Яндекс Браузера для организаций. Система фиксирует загрузку потенциально опасных файлов, блокировку расширений, выполнение вредоносного JavaScript-кода внутри них, а также изменение политик браузера, что позволяет оперативно реагировать на попытки обхода защитных настроек.

Отдельное внимание уделено защите контейнерных сред, которые стали стандартом для развертывания и управления приложениями. Согласно данным Red Hat, почти 70% организаций хотя бы раз приостанавливали или замедляли внедрение контейнеров из-за проблем с безопасностью. Теперь MaxPatrol SIEM интегрируется с продуктом Positive Technologies PT Container Security, который отвечает за защиту контейнерных сред. Более 90 специализированных правил в MaxPatrol SIEM помогают находить атаки в Unix-системах, на которых обычно работают такие среды. В дальнейшем в качестве источников событий можно будет подключать и решения других вендоров для защиты контейнеров.

В рамках обновления MaxPatrol SIEM также добавлена поддержка операционной системы ALT Linux. Система сообщает о подозрительной активности в службе каталогов «Альт Домен», которая используется как альтернатива Microsoft Active Directory. Новые правила позволяют обнаружить злоумышленника еще на этапе разведки, а затем отследить действия, связанные с кражей учетных данных, попытками закрепиться в системе и нанесением ущерба.

Еще одно направление развития продукта связано с защитой от внутренних атакующих и злоупотребления легитимными инструментами. В MaxPatrol SIEM появились дополнительные правила, которые помогают выявлять признаки работы утилиты NetExec, предназначенной для удаленного выполнения команд. После анализа поведения этого инструмента разработчики улучшили существующие и добавили новые правила корреляции. Это позволит сотрудникам SOC эффективнее реагировать на инциденты, связанные с хранением учетных данных в открытом виде, избыточными правами пользователей, неправильным использованием служебных аккаунтов, а также некорректным управлением профилями Wi-Fi и системным реестром.