MaxPatrol SIEM 对基础架构中的用户活动进行剖析。

MaxPatrol SIEM 信息安全事件监控系统提供 44 种新的关联规则，可剖析基础架构中的用户活动，并识别与企业主机和服务的非典型连接。该产品可跟踪对高层管理人员和开发人员计算机、域控制器、GitLab 服务器、密码管理器和其他应用程序的访问。

Positive Technologies 公司攻击检测组组长 Kirill Kiryanov 说："我们在网络培训方面的经验表明，对关键节点的访问进行剖析是检测来自以前未知 IP 地址和设备的企业服务授权的唯一方法，并能在发生泄漏和网络上出现凭证转储时及早阻止攻击。这种异常情况通常表明，员工的账户已被网络犯罪分子劫持，远程连接到基础设施并在其中旅行。有了这套新的专业技术，MaxPatrol SIEM 操作员现在就有能力捕捉非典型活动，这些活动从总体上看可能是合法的，但对特定的基础设施来说却是异常的，因此会带来安全风险。

在新规则的帮助下，该产品可分析目标基础架构节点上和各种应用程序中的用户授权，包括 GitLab 服务器、1C 产品、密码管理器和域控制器，以及高层管理人员、开发人员和其他关键用户的计算机。

总共有三种剖析模式：

• 被动收集每位员工使用哪些公司服务的信息（不提供触发相关规则的功能）；
• 自动分析和登录通知：MaxPatrol SIEM 通知企业服务中的新授权，并记住 "设备 IP 地址和用户名 "的组合（这些事件将来不会报告给操作员）；
• 严格剖析：用户在基础设施中的操作数据收集完成后，SIEM 系统会立即通知信息安全分析师任何偏离常规的访问。

用于剖析的数据来自应用软件日志以及特定主机的 auditd 和 Windows 安全日志。MaxPatrol SIEM 基于独特的安全资产管理技术，可收集所有资产的数据，使 IT 基础设施对操作员透明。该产品可自动识别基础架构中的关键服务器，并对用户访问这些服务器的情况进行剖析。信息安全分析师也可以在表格中手动输入需要监控的重要节点。

活动剖析功能在 MaxPatrol SIEM 7.0 及更高版本中可用。此外，MaxPatrol SIEM 还根据 MITRE ATT&CK 矩阵（描述攻击者战术、技术和程序的知识库）更新了用于检测攻击的专业知识包。特别是，Positive Technologies 专家开发了用于检测 LSASS 进程转储的规则（该规则使用黑客实用程序 PPLMedic 和 PPLFault，在攻击者中很流行），以及用于启动字符串中 Base64 解密的增强规则（其编码有助于攻击者隐藏其行为）。