Support
Новости
Jun
13
PT Sandbox 5.12.0
Автор Vasiliy Zhukovskiy на 13 June 2024 17:52

PT Sandbox 5.12.0: возможности

Мы рады сообщить о выходе новой версии PT Sandbox.

Что нового:

  • Поведенческий анализ файлов Microsoft Access
    Теперь PT Sandbox проверяет методом поведенческого анализа файлы системы управления базами данных Microsoft Access. Поддерживается проверка файлов форматов ACCDB, ACCDE, ACCDT, MDV и MDE в образах виртуальных машин Windows.

Улучшения:

  • Проверка цифровых подписей кода для приложений Windows
    Теперь PT Sandbox при поведенческом анализе файлов форматов CAB, DLL, EXE, MSI проверяет для них цифровые подписи кода приложений Windows (code signing). Подтверждение цифровой подписи указывает на то, что файл не был изменен и что сертификат удостоверяющего центра не был отозван. Высока вероятность, что такой файл не является вредоносным, но окончательное решение о результате проверки выносится на основании всех используемых методов. Проверка выполняется в образах виртуальных машин Windows.
  • Информация о скачиваемых файлах
    В целях безопасности все скачиваемые из хранилища PT Sandbox файлы помещаются в зашифрованный ZIP-архив. Теперь в этот же архив помещаются файлы CSV и JSON с информацией о скачанных файлах и результатах их проверки (такие файлы не добавляются при скачивании только выбранного файла).
  • Метки для различных форматов SFX-архивов
    Добавлены отдельные метки для файлов самораспаковывающихся архивов форматов 7z, ACE, RAR и ZIP. Теперь при поиске объектов вы можете отфильтровать такие архивы по их формату.

Читать подробнее...


Подробнее »



Jun
4
PT Application Inspector Enterprise 4.7.1 Release
Автор PT Support на 04 June 2024 19:03

PT Application Inspector Enterprise 4.7.1 Release

Вышла новая версия PT AI Enterprise 4.7.1.

В продукт внесены следующие изменения:

  • Устранена проблема миграции данных в процессе обновления PT AI Enterprise Edition;
  • Исправлены ошибки сканирования проектов на языке Java;
  • Исправлена ошибка сканирования с помощью модуля поиска уязвимых компонентов в закрытом контуре;
  • Исправлена ошибка сканирования проекта, созданного с помощью AI.Shell и написанного на языке, недоступном по лицензии;
  • Устранена проблема сохранения сортировки на странице со списком проектов;
  • В SARIF-отчетах добавлено описание уязвимостей по классификации CVE;
  • Исправлена ошибка в описании уровней журналирования в AI.Shell и Azure DevOps;
  • Устранена проблема отсутствия результатов сканирования при использовании внешней БД;
  • В конфигурационных файлах для AI.Shell и CI/CD-плагинов теперь необязательно указывать языки, на которых написано приложение, так как PT AI Enterprise Edition определяет их автоматически. Благодаря этому улучшению в проектах на разных языках может использоваться единый шаблон конфигурационного файла.

Полный список улучшений и изменений доступен в справке.

Новую сборку и документацию можно получить на портале технической поддержки.

PT Application Inspector Enterprise 4.7.1 Release

A new version of PT AI Enterprise 4.7.1 has been released.

The following changes have been introduced to the product:

  • Fixed the issue with data migration during the PT AI Enterprise Edition updating process;
  • Fixed the Java project scanning errors;
  • Fixed the error that occurred when scanning with the module that searches for vulnerable components in an isolated network;
  • Fixed the error that occurred when scanning projects created using AI.Shell and written in languages unavailable under the current license;
  • Fixed the issue with saving the sorting on the project list page;
  • Added CVE vulnerability descriptions to SARIF reports;
  • Fixed the logging level description error in AI.Shell and Azure DevOps;
  • Fixed the issue with missing scan results when using an external database;
  • In configuration files for AI.Shell and CI/CD plugins, it is no longer necessary to specify the application languages because PT AI Enterprise Edition identifies them automatically. Thanks to this improvement, projects in different languages can use the same configuration file template.

A full list of improvements and changes is available in the help.

The new assembly and documentation can be obtained on the technical support portal.

 


Подробнее »



Jun
3
MaxPatrol EDR 6.0
Автор Ivan Kolosov на 03 June 2024 18:02

MaxPatrol EDR 6.0: новые возможности

Мы рады сообщить о выпуске новой версии MaxPatrol EDR. В этом релизе улучшили средства обнаружения и реагирования, сосредоточившись на работе с файлами. А также добавили возможность реагирования на уровне учетных записей и упростили настройку мониторинга для Linux-систем.

Что нового:

  • Обнаружение подозрительных файлов.
    Можно отслеживает появление в системе файлов с заданным расширением, в заданной папке или если он был создан определенным процессом. Это позволит закрывать сценарии распространения ВПО через браузеры, мессенджеры и почтовые приложения. А также пригодится в случаях, когда нужно контролировать сохранение файлов в директории, из которой производится автозагрузка и запуск легитимных процессов.
  • Проверка файлов по хеш-сумме.
    В базе модуля заложено более 40 000 хешей файлов, связанных с угрозами, обнаруженных впервые или признанных PT ESC актуальными за последнюю неделю. Это дает возможность быстро проверить файлы и значительно снизить количество ложноположительных срабатываний. Данные в базе обновляются каждый час.
  • Карантин файлов.
    В качестве альтернативы удалению вредоносного файла появилась опция помещения его в карантин. Она полезна для работы с файлами в рамках расследования, и позволяет при необходимости восстановить их в целевой системе. Рекомендуется использовать этот тип реакции в автоматическом режиме при сработках YARA-сканера, корреляций с высокой степенью достоверности и опасности, вердиктах песочницы и проверки файлов по хешам.
  • Модуль блокировки учетных записей.
    Позволяет завершать сеансы и блокировать локальные учетные записи в случае их компрометации. Для удобства управления предусмотрены разблокировка и просмотр списка УЗ на хосте.
  • Установщик auditd.
    Упрощает настройку продукта за счет автоматической доставки конфигурации сбора системных событий Linux, достаточной для детектирования коррелятором.

Улучшения:

  • Проверка файлов без поведенческого анализа.
    Добавлено новое действие модуля отправки файлов в PT Sandbox, которое позволяет быстро сканировать файлы в многопоточном режиме с помощью антивирусов сторонних разработчиков, проверять архивы и применять другие методы статического анализа (YARA-сканирование, проверка по базе IoC). Проверка занимает около минуты, поведенческий анализ не выполняется.
  • Health Check подключения.
    Мониторит проблемы с подключением PT Sandbox и сообщает о них в интерфейсе модуля.
  • Снижение нагрузки при повторных проверках в песочнице.
    Файлы, которые уже отправлялись на проверку и ожидают вердикта, не будут отправляться снова, что снизит очередь в PT Sandbox.
  • Просмотр покрываемых техник MITRE ATT&CK
    При настройке модулей «Коррелятор (Windows)» и «Коррелятор (Linux)» для каждого события отображаются покрываемые техники из матрицы MITRE ATT&CK. Это помогает правильно настроить автоматическое реагирование и выбрать идентичные действия для одинаковых техник.
  • Работа с временными интервалами в агентских задачах.
    Новые операторы в PDQL позволят использовать агентские задачи для большего количества процессов. Например, удалить VDI-машины через заданный период времени, найти все узлы, которые не подключались больше месяца, удалить их или переместить в группу, с которой разбираются администраторы.

Читать подробнее...


Подробнее »