MaxPatrol SIEM выявляет попытки закрепления атакующих в инфраструктурах на базе ОС Linux

В MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительных изменений системных объектов на узлах с ОС семейства Linux. Теперь пользователи MaxPatrol SIEM могут обнаружить действия злоумышленника, который уже проник в инфраструктуру, — его попытки закрепиться в ней, повысить привилегии или скрыть следы.

Правила, вошедшие в состав пакета экспертизы, помогают обнаружить попытки злоумышленников:

• получить информацию для авторизации в системе от имени легитимного пользователя (например, SSH-ключи пользователя ОС);
• изменить системные файлы, например сценарии запуска ОС, конфигурационные файлы ОС, системные библиотеки или исполняемые файлы, чтобы обеспечить бэкдор в скомпрометированную систему или повысить привилегии.

Ранее в MaxPatrol SIEM уже был загружен пакет экспертизы для выявления атак в ОС семейства Linux. Новая серия правил детектирования дополняет предыдущие.

Описание новых правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 22 (5.1) или выше.

Приглашаем на день рождения MaxPatrol SIEM

Системе выявления инцидентов MaxPatrol SIEM исполняется 5 лет. Приглашаем вас вместе с нами 27 мая в 17:00 по московскому времени отметить юбилей MaxPatrol SIEM и весело провести время!

У нас будет 2,5 часа, чтобы послушать тосты от специальных гостей и поиграть в праздничный квиз! Тема игры – кибербезопасность и SIEM-технологии. Ждем на празднике всех: и тех, кто работает с MaxPatrol SIEM, и тех, кто о нем только слышал. Готовиться к игре не надо, но советуем запастись любимыми напитками и закусками — поднимем бокалы вместе за будущее SIEM!

Лучшие команды и активные участники получат подарки от Positive Technologies: настольный футбол, набор для игры в дартс и брендированные сувениры.

Чтобы принять участие, запишитесь на игру. Рекомендуемое количество участников в команде — от 2 до 9 человек.

Подробнее о празднике: bit.ly/mpsiemparty

Пакет экспертизы для безопасной удаленки в MaxPatrol SIEM пополнился новыми кейсами

Пакет экспертизы для выявления сетевых аномалий при удаленной работе получил второе обновление. Теперь он покрывает еще пять сценариев, среди которых случаи подозрительной активности в сети при организации удаленного доступа с помощью межсетевого экрана Palo Alto Networks. По результатам опроса 776 специалистов по ИТ и ИБ, файрвол Palo Alto Networks входит в пятерку наиболее популярных способов организации удаленного доступа в крупных компаниях.

С учетом двух обновлений пакет экспертизы покрывает 16 аномалий с использованием OpenVPN, RDG, межсетевых экранов Cisco ASA, Check Point и Palo Alto. Подробнее про все детектируемые аномалии — на вебинаре 28 мая и в обновленном руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 22 или выше.

Для пользователей более старых версий MaxPatrol SIEM мы переписали новые правила из этого пакета под версии 21.0 и 21.1. Скачать их можно по ссылке.