Новости партнеров

MaxPatrol SIEM выявляет подозрительную активность при удаленном доступе, организованном с помощью Check Point

Теперь пакет экспертизы для безопасной удаленной работы в MaxPatrol SIEM покрывает аномалии, связанные с использованием межсетевого экрана Check Point. Компания Check Point — успешный игрок на рынке информационной безопасности и занимает четвертое место по объему продаж аппаратных средств безопасности в IV квартале 2019 года, по данным IDC.
На прошлой неделе в MaxPatrol SIEM был загружен пакет экспертизы ¹ для выявления сетевых аномалий при удаленной работе. Эксперты Positive Technologies пополнили пакет кейсами для обнаружения подозрительной активности при организации удаленной работы с помощью межсетевого экрана Check Point. Это позволит вовремя обнаружить нелегитимные подключения из-за периметра компании.
Теперь MaxPatrol SIEM умеет собирать и анализировать события подсистемы VPN от четырех последних версий межсетевого экрана Check Point с операционной системой GAiA. Благодаря этому пользователи MaxPatrol SIEM могут обнаруживать:
  • атаки на файрвол Check Point методом перебора (зная пароль, используемый для подключения, злоумышленники могут получить доступ в корпоративную сеть);
  • смену IP-адресов пользователей при VPN-подключении к сетевым узлам, где установлен этот межсетевой экран (смена IP-адреса говорит о необычном поведении, которое необходимо расследовать для исключения инцидента).
Пакет экспертизы продолжит еженедельно пополняться новыми кейсами.

  1. В MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат 370 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
https://www.ptsecurity.com/ru-ru/about/news/mp-siem-vyyavlyaet-podozritelnuyu-aktivnost-pri-udalennom-dostupe-organizovannom-s-pomoshchyu-check-point/
Positive Technologies