MaxPatrol SIEM 对基础架构中的用户活动进行剖析。

MaxPatrol SIEM 信息安全事件监控系统提供 44 种新的关联规则,可剖析基础架构中的用户活动,并识别与企业主机和服务的非典型连接。该产品可跟踪对高层管理人员和开发人员计算机、域控制器、GitLab 服务器、密码管理器和其他应用程序的访问。

Positive Technologies 公司攻击检测组组长 Kirill Kiryanov 说:"我们在网络培训方面的经验表明,对关键节点的访问进行剖析是检测来自以前未知 IP 地址和设备的企业服务授权的唯一方法,并能在发生泄漏和网络上出现凭证转储时及早阻止攻击。这种异常情况通常表明,员工的账户已被网络犯罪分子劫持,远程连接到基础设施并在其中旅行。有了这套新的专业技术,MaxPatrol SIEM 操作员现在就有能力捕捉非典型活动,这些活动从总体上看可能是合法的,但对特定的基础设施来说却是异常的,因此会带来安全风险。

在新规则的帮助下,该产品可分析目标基础架构节点上和各种应用程序中的用户授权,包括 GitLab 服务器、1C 产品、密码管理器和域控制器,以及高层管理人员、开发人员和其他关键用户的计算机。

总共有三种剖析模式:

  • 被动收集每位员工使用哪些公司服务的信息(不提供触发相关规则的功能);
  • 自动分析和登录通知:MaxPatrol SIEM 通知企业服务中的新授权,并记住 "设备 IP 地址和用户名 "的组合(这些事件将来不会报告给操作员);
  • 严格剖析:用户在基础设施中的操作数据收集完成后,SIEM 系统会立即通知信息安全分析师任何偏离常规的访问。

用于剖析的数据来自应用软件日志以及特定主机的 auditd 和 Windows 安全日志。MaxPatrol SIEM 基于独特的安全资产管理技术,可收集所有资产的数据,使 IT 基础设施对操作员透明。该产品可自动识别基础架构中的关键服务器,并对用户访问这些服务器的情况进行剖析。信息安全分析师也可以在表格中手动输入需要监控的重要节点。

活动剖析功能在 MaxPatrol SIEM 7.0 及更高版本中可用。此外,MaxPatrol SIEM 还根据 MITRE ATT&CK 矩阵(描述攻击者战术、技术和程序的知识库)更新了用于检测攻击的专业知识包。特别是,Positive Technologies 专家开发了用于检测 LSASS 进程转储的规则(该规则使用黑客实用程序 PPLMedic 和 PPLFault,在攻击者中很流行),以及用于启动字符串中 Base64 解密的增强规则(其编码有助于攻击者隐藏其行为)。

你可能感兴趣的:(Positive,Technologies,网络安全,MaxPatrol,SIEM,网络安全,安全,web安全,网络)