MaxPatrolSIEM的最新版本增加了44种关联规则,用于检测企业内部的非典型用户活动,帮助预防未经授权的访问和凭证泄露。系统利用审计日志和MITREATT&CK矩阵提升攻击检测能力,特别关注LSASS进程转储和Base64解密等攻击手段。
MaxPatrol SIEM 信息安全事件监控系统提供 44 种新的关联规则,可剖析基础架构中的用户活动,并识别与企业主机和服务的非典型连接。该产品可跟踪对高层管理人员和开发人员计算机、域控制器、GitLab 服务器、密码管理器和其他应用程序的访问。
Positive Technologies 公司攻击检测组组长 Kirill Kiryanov 说:"我们在网络培训方面的经验表明,对关键节点的访问进行剖析是检测来自以前未知 IP 地址和设备的企业服务授权的唯一方法,并能在发生泄漏和网络上出现凭证转储时及早阻止攻击。这种异常情况通常表明,员工的账户已被网络犯罪分子劫持,远程连接到基础设施并在其中旅行。有了这套新的专业技术,MaxPatrol SIEM 操作员现在就有能力捕捉非典型活动,这些活动从总体上看可能是合法的,但对特定的基础设施来说却是异常的,因此会带来安全风险。
在新规则的帮助下,该产品可分析目标基础架构节点上和各种应用程序中的用户授权,包括 GitLab 服务器、1C 产品、密码管理器和域控制器,以及高层管理人员、开发人员和其他关键用户的计算机。
总共有三种剖析模式:
- 被动收集每位员工使用哪些公司服务的信息(不提供触发相关规则的功能);
- 自动分析和登录通知:MaxPatrol SIEM 通知企业服务中的新授权,并记住 "设备 IP 地址和用户名 "的组合(这些事件将来不会报告给操作员);
- 严格剖析:用户在基础设施中的操作数据收集完成后,SIEM 系统会立即通知信息安全分析师任何偏离常规的访问。
用于剖析的数据来自应用软件日志以及特定主机的 auditd 和 Windows 安全日志。MaxPatrol SIEM 基于独特的安全资产管理技术,可收集所有资产的数据,使 IT 基础设施对操作员透明。该产品可自动识别基础架构中的关键服务器,并对用户访问这些服务器的情况进行剖析。信息安全分析师也可以在表格中手动输入需要监控的重要节点。
活动剖析功能在 MaxPatrol SIEM 7.0 及更高版本中可用。此外,MaxPatrol SIEM 还根据 MITRE ATT&CK 矩阵(描述攻击者战术、技术和程序的知识库)更新了用于检测攻击的专业知识包。特别是,Positive Technologies 专家开发了用于检测 LSASS 进程转储的规则(该规则使用黑客实用程序 PPLMedic 和 PPLFault,在攻击者中很流行),以及用于启动字符串中 Base64 解密的增强规则(其编码有助于攻击者隐藏其行为)。
扫一扫
2132
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
