作为专业知识包更新的一部分,MaxPatrol SIEM信息安全事件监控系统新增了100多条威胁检测规则,其中70多条主要用于检测对Unix基础设施的攻击。新增的规则提高了对暴力破解尝试以及Unix操作系统攻击的检测准确性。
为了帮助政府机构、关键信息基础设施实体和拥有Unix基础设施的公司确保其安全性,Positive Technologies专家为MaxPatrol SIEM增加了检测当前威胁的新方法。加载到产品中的规则允许更准确地检测攻击者用于获取凭证访问、初始访问和横向移动、规避、发现和收集、持久性和权限升级、执行以及命令和控制的MITRE ATT&CK技术。
此外,MaxPatrol SIEM还更新了新规则,用于检测通过登录和密码挖掘入侵账户的企图。特别是,该产品现在可单独识别传播尝试(将单个密码与多个账户匹配的尝试;攻击者这样做是为了避免账户锁定)。同时,每条暴力破解规则都与特定的应用程序、操作系统或网络设备相关联。例如,Cisco防火墙、IIS网络服务器、OpenVPN应用程序和GitLab。
Unix是包括Linux在内的几十种操作系统的基础。大多数网络服务器、云服务和流行的虚拟化工具都运行在Unix系统上。
MaxPatrol SIEM与PT Network Attack Discovery行为流量分析系统的集成得到了扩展--现在用户可以看到SIEM系统与PT NAD关键规则的更多相关触发(超过3500个)。这减少了误报的数量,提高了可疑网络活动检测的准确性。此外,通过更新的专业知识包,使用这两款产品的公司可以将子网络列入白名单,并自动禁用针对不同动态IP地址组的规则。例如,当内部开发正在进行时,白名单可应用于研发网络或漏洞扫描网络。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
