С помощью новых правил, основанных на вердиктах PT Sandbox и срабатываниях антивирусного ПО, SIEM-система коррелирует потенциально опасные инциденты, а также дополнительно акцентирует на них внимание пользователей. Добавленные возможности помогают специалистам по ИБ ориентироваться в огромном потоке событий и следить за статусом обнаруженных угроз в режиме «одного окна» — интерфейсе MaxPatrol SIEM.
«Шифровальщики, загрузчики, банковские трояны и другие вредоносные программы — бич современных компаний. По данным Positive Technologies, во II квартале с помощью вредоносов злоумышленники атаковали каждую вторую организацию. Антивирусы и песочницы, такие как, например, PT Sandbox, эффективно обнаруживают вредоносное ПО. Чтобы специалисты по ИБ быстрее выявляли сложные атаки, в интерфейсе MaxPatrol SIEM теперь выводятся критически опасные инциденты с ВПО, сгенерированные новыми правилами корреляции. Это помогает оператору понять, какие кейсы следует тщательно расследовать», — комментирует Константин Грищенко, руководитель отдела мониторинга информационной безопасности Positive Technologies.
Кроме того, расширена интеграция с PT Sandbox. Анализируя вердикты песочницы Positive Technologies, MaxPatrol SIEM теперь определяет:
- вредоносные файлы — решение выносится по результатам всех проверок PT Sandbox;
- запуск зловредных файлов;
- подозрительную почтовую активность (обнаружение спам-рассылок по отправителю, заголовкам и вложениям).
- ВПО обнаружено и удалено (либо не удалено) в течение пяти минут;
- «Защитник Windows» отключен;
- запуск вредоносного приложения запрещен Kaspersky Endpoint Security;
- работа Kaspersky Endpoint Security остановлена или отключены его компоненты защиты;
- состав установочных пакетов Kaspersky Security Center изменен.
https://www.ptsecurity.com/ru-ru/about/news/novye-pravila-maxpatrol-siem-opoveshchayut-o-kriticheski-opasnyh-incidentah-v-kotoryh-zamecheno-vredonosnoe-po/