Начиная с 2019 года в MaxPatrol SIEM были загружены три пакета экспертизы под Linux-системы: выявление подозрительной сетевой активности приложений и учетных записей, попытки закрепления атакующих в инфраструктуре и подозрительные действия пользователей. Суммарно было разработано 23 правила обнаружения угроз.
Эксперты Positive Technologies добавили автоматический механизм профилирования для новых сетевых узлов в IT-инфраструктуре. Для каждого из них на протяжении двух недель все события добавляются в список исключений. Это необходимо для снижения количества уведомлений.
Пользователи могут и самостоятельно добавлять исключения для правил. Это можно делать вручную или в пару кликов в разделе «События». Исключения для первого пакета экспертизы теперь заносятся в единый табличный список (раньше у него было несколько списков).
Еще одно обновление: в описание пакетов экспертизы добавлена инструкция по настройке источников сбора данных с помощью роли системы управления конфигурациями Ansible. До этого настройка источников была возможна с помощью специального скрипта на Python. Теперь пользователи могут выбрать наиболее удобный для них способ.
https://www.ptsecurity.com/ru-ru/about/news/v-maxpatrol-siem-povysilas-tochnost-vyyavleniya-atak-na-linux-sistemy/