PT Application Firewall Update

PT Application Firewall version 3.7.2 is available for update an contains the following changes:

- Smoother product update:

• We fixed security event and configuration migration from previous versions
• We fixed problems concerning product installation from the ISO image

- Better event streaming processing:

• Overall improvement of protection mechanisms in the product
• We fixed a sniffer error that occurred if more than one worker was used
• We fixed an issue with logging and blocking of malformed requests, such as the "Malformed Request Line" event
• We fixed ICAP server-related issues

- Improved user web interface and CLI:

• No need to indicate DHCP routers at the system setup anymore
• We fixed configuration scenarios on several interface forms (Actions, Services, PT BBS view, and more)
• We fixed problems concerning report generation and backup management
• We updated scenarios that involve feeds of blacklisted IP addresses
• We fixed issues that occurred after logging in to the product via the SSO feature
• We made SSL configuration easier with recommended values already in place

More details about version 3.7.2 you can find in the Administrator Guide.

Обновление PT Application Firewall

PT Application Firewall версии 3.7.2 доступен для обновления и содержит в себе следующие изменения:

- Обновлять продукт стало проще:

• Исправлены ошибки миграции событий безопасности и наследования конфигурации из предыдущих версий
• Исправлены проблемы при установке продукта из ISO-образа

- Улучшена работа сервисов потоковой обработки данных:

• Исправлена ошибка в работе сниффера при использовании более одного рабочего процесса
• Исправлены проблемы с журналированием и блокировкой ошибочных запросов, таких как событие Malformed Request Line
• Исправлены проблемы при взаимодействии с удаленным ICAP-сервером
• Усовершенствованы механизмы защиты в продукте

- Оптимизирована работа с пользовательским и консольным интерфейсами:

• Устранена необходимость указывать DHCP-маршрутизаторы при начальной настройке системы
• Исправлены сценарии конфигурации продукта на различных формах интерфейса
• Исправлены проблемы при формировании отчетов и работе с резервными копиями
• Обновлены сценарии работы с подключением веб-каналов IP-адресов
• Устранены проблемы, связанные со входом в продукт по SSO
• Настраивать SSL стало проще благодаря предустановленным рекомендованным значениям

Более подробная информация о версии 3.7.2 представлена в руководстве администратора.

Dear MaxPatrol 8 users,

We have overhauled reporting in MaxPatrol 8. Starting from version 8.25.6.29328, each report is generated in a separate process, which reduces the load on the main functionality.

To limit the number of reports generated simultaneously, select «Settings» > «Server» > «Number of builder threads». This improvement allows you to create more reports in less time.

Best regards,
MaxPatrol 8 team

Уважаемые пользователи MaxPatrol 8!

Мы провели большую работу по оптимизации механизма генерации отчетов в MaxPatrol 8. Начиная с версии 8.25.6.29328 каждый отчет генерируется в отдельном процессе, что позволяет снизить нагрузку на основной функционал продукта.

Ограничить количество одновременно выпускаемых отчетов можно во вкладке «Настройки» - «Сервер» - «Настройки генератора отчетов». Данная доработка позволит генерировать больше отчетов за меньшее время.

С наилучшими пожеланиями,
Команда MaxPatrol 8

Новый пакет экспертизы MaxPatrol SIEM повышает точность выявления попыток брутфорса

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы, позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля. Правила корреляции, вошедшие в пакет, позволили повысить точность выявления инцидентов, связанных с брутфорсом, и снизить потребление памяти системы на 20%.

Специалисты компании Positive Technologies пересмотрели концепцию идентификации брутфорса. В результате написаны правила, которые помогут пользователям MaxPatrol SIEM выявлять попытки взлома, используя минимальное количество информации: данные о попытках аутентификации, объектах и субъектах брутфорса и особенностях инфраструктуры.

Если атака на конкретный субъект или с конкретного объекта продолжительная, MaxPatrol SIEM создаст один инцидент за сутки (частоту создания можно менять), а в самом инциденте сохранит статистику обо всех попытках подбора учетных данных, связанных с участниками атаки. Это снижает число уведомлений, значительно упрощает и ускоряет анализ инцидента.

С новым пакетом экспертизы появилась возможность создавать белые списки (таблица Bruteforce_entities_whitelist) сетевых узлов и пользователей, которые используют техники перебора логина и пароля в легитимных целях, и автоматически отключать срабатывания правил по инцидентам с их участием. Например, в их числе могут оказаться узлы сканеров уязвимостей, разделяемые учетные записи, сетевые узлы в DMZ.

Новые правила были оптимизированы с целью более равномерного распределения нагрузки между компонентами MaxPatrol SIEM и протестированы на потоке в 30 000 событий в секунду. В итоге потребление памяти снижено на 20% в сравнении с обработкой аналогичного потока событий предыдущими правилами корреляции.

Подробное описание пакета доступно в документе Пакет №4. Брутфорс.pdf