Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.
Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе:
- попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства);
- изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина;
- попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox.
- изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла;
- передачу ICMP-пакета 1 большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки;
- попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код.
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версий 6.1 или 6.2 и установить правила из пакета экспертизы.
- Протокол ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных