Предыдущая версия пакета экспертизы выявляла брутфорс по конкретным идентификаторам событий, таких как, например, учетная запись не смогла войти в систему, запрашивался билет на проверку подлинности Kerberos (TGT) или предварительная проверка подлинности Kerberos не удалась. Теперь попытки взлома учетных записей выявляются по макросам, которые проверяют сразу целый класс событий.
Макросы используются в конструкторе правил корреляции. С их помощью можно быстро подставить часто применяемые или сложные для самостоятельного написания фрагменты программного кода.
Пользователи MaxPatrol SIEM могут использовать как готовые макросы, написанные экспертами Positive Technologies, так и создавать собственные.
Обновление макросов позволило покрыть больше подозрительных событий, которые будут попадать в «поле зрения» правил корреляции.
В пакет экспертизы добавлено два правила. Одно позволит выявлять атаки на контроллеры домена с использованием сеансовых билетов Kerberos 1, второе — фиксирует 10 и более попыток удаленного входа в систему с одного узла на несколько узлов в течение пяти минут.
Для повышения точности срабатываний SIEM-системы было обновлено правило, выявляющее брутфорс в отношении системы для организации удаленного доступа OpenVPN, межсетевых экранов Cisco ASA, CheckPoint и Palo Alto. Ранее такие атаки выявлялись правилами из пакета экспертизы для безопасной удаленной работы.
Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версий 6.1 или 6.2 и установите обновленные правила из пакета экспертизы.
- Kerberos – сетевой протокол, который используется в доменных сетях для аутентификации пользователей.