Support
News
Jul
23

MaxPatrol SIEM выявляет еще семь сетевых аномалий

В MaxPatrol SIEM загружен двадцатый пакет экспертизы. Он позволяет выявить семь подозрительных активностей по анализу событий от сетевых устройств. Источниками событий могут быть маршрутизаторы и коммутаторы Cisco, межсетевые экраны Check Point с операционной системой GAiA, Cisco ASA, FortiGate, Palo Alto Networks PAN-OS, Juniper Junos OS.

Описание сетевых аномалий — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 23 (6.0).

 


Read more »



Jul
14
PT ISIM proView Sensor / netView Sensor / View Point 2.3
Posted by Maxim Ivanov on 14 July 2020 20:27

PT ISIM proView Sensor / netView Sensor / View Point  Update

New features, improvements and limitations in PT ISIM proView Sensor / netView Sensor / View Point version 2.3

1. New features

Node table 

You can now view nodes detected in a network as a table. The Topology page has been renamed Nodes and now has two display modes:

• Table: In this mode, the page displays nodes in tabular format.
• Diagram: In this mode, the page displays nodes, groups of nodes, and connections in graphical format, which corresponds to what was displayed on the Topology page in previous versions.
In tabular display mode, you can filter nodes by their basic parameters (state, type, manufacturer, IP address, MAC address), by activity time, and by the presence of attacks that are not closed. You can also sort nodes by the time of the most recent network activity. The basic node management operations (changing the name, authorization state, and type, adding a description, creating groups of nodes) are available both in the diagram and in the table. It is easier to change the state, type, and groups of multiple nodes in the table using multiple selection.

Instructions on how to manage nodes are provided in the PT ISIM proView Sensor / netView Sensor / View Point Operator Guide.

Rule base updates (PT ISIM proView Sensor / netView Sensor only)

Starting with version 2.3, you can update bases of traffic processing rules separately from the rest of the product. Updates can be received from the Positive Technologies update server (if there is a stable network connection) or on external media. You can install received update packages via the PT ISIM proView Sensor / netView Sensor web interface. For more information about rule base updates, see the PT ISIM proView Sensor / netView Sensor Administrator Guide.

2. Improvements

Frequency of partitioning in the statistical database

By default, the DBMS creates partitions for the metrics statistical database once every 24 hours. If the amount of statistical data is large, writing to the database can significantly load the disk system and therefore decrease the overall product performance. With the new version of PT ISIM netView Sensor, you can change the frequency of partitioning to decrease the size of partitions. For details, see the PT ISIM proView Sensor / netView Sensor / View Point Administrator Guide

Optimized web interface

The product web interface has been optimized. As a result, its performance has improved, and
some of its elements now look different 

3. Limitations of this version

PT ISIM proView Sensor / netView Sensor / View Point 2.3 has the following limitations: 

  • When updating PT ISIM proView Sensor / netView Sensor / View Point to version 2.3, you need to reconfigure network interfaces. For instance, you need to add interfaces from which analyzed traffic is captured to the bond virtual interface. For this purpose, an interface setup window is displayed during installation.
  • Statistical data (in reports and on the Statistics page) is not displayed for the DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP, and ARP protocols.
  • Statistical data (in reports and on the Statistics page) includes only the data (about events, nodes, connections, and incidents) detected in PT ISIM proView Sensor / netView Sensor / View Point 2.0 or later.
  • After each PT ISIM proView Sensor / netView Sensor / View Point update, the Nodes page displays data in history mode only for the period following the update. Data for the period before the update is not retained.
  • The node diagram is displayed without delay if there are up to 2,500 nodes or up to 5,000 connections.
  • PT ISIM proView Sensor / netView Sensor / View Point does not support NTP time synchronization on the server. Setting the system time back (via NTP or manually) may cause the product to function incorrectly.
  • Updating the product interrupts the process of traffic collection and analysis. We recommend installing updates when it is most acceptable to perform no monitoring of the network.

PT ISIM proView Sensor / netView Sensor only: 

  • Updating PT ISIM proView Sensor / netView Sensor to version 2.3 is only possible starting with version 2.0 or later. To update the product of version 1.6 or 1.8, you can update it to version 2.0, 2.1, or 2.2, and then update it to version 2.3.
  • If PT ISIM proView Sensor / netView Sensor is connected to PT ISIM Overview Center, you need to install the latest version of the ptisim-overview-updater integration package on PT ISIM proView Sensor / netView Sensor to update the product to version 2.3 via PT ISIM Overview Center. 

Обновление PT ISIM proView Sensor / netView Sensor / View Point

Новые возможности, улучшения и ограничения в PT ISIM proView Sensor / netView Sensor / View Point версии 2.3

1. Новые возможности

Таблица узлов

Добавлен новый способ представления обнаруженных в сети узлов: теперь вы можете просматривать их в виде таблицы. Раздел главного меню Топология переименован в Узлы и содержит теперь два пункта:

• Таблица. Страница отображает узлы в табличном виде.
• Схема. Страница отображает узлы, группы узлов и соединения в графическом виде — то, что в прошлых версиях отображалось на странице Топология.
В табличном способе представления вы можете фильтровать узлы по основным параметрам (статус, тип, производитель, IP-адрес, MAC-адрес), по времени активности и по наличию на них незакрытых атак, а также сортировать их по времени последней сетевой активности. Основные действия с узлами (изменение имени, статуса авторизации и типа, добавление описания, создание групп узлов) доступны как на схеме, так и в таблице. При этом с помощью множественного выбора в таблице удобнее менять статус, тип и группы сразу нескольких узлов.

Инструкции по работе с узлами приводятся в Руководстве оператора proView Sensor / netView Sensor / View Point.

Обновление базы правил (только для PT ISIM proView Sensor / netView Sensor)

Начиная с версии 2.3 вы можете обновлять базы правил обработки трафика отдельно от остального продукта. Обновления могут быть получены с сервера обновлений "Позитив Текнолоджиз" (при наличии стабильного сетевого подключения) или на внешнем носителе. Установка полученных пакетов обновлений доступна через веб-интерфейс PT ISIM proView Sensor / netView Sensor. Подробнее об обновлении базы правил см. Руководство администратора PT ISIM proView Sensor / netView Sensor.

2. Улучшения

Периодичность создания секций для базы статистических данных

Для базы статистических данных metrics в СУБД по умолчанию создаются секции раз в сутки. При большом количестве статистических данных операции записи в базу могут существенно нагружать дисковую систему, что приводит к замедлению работы всего продукта. В новой версии PT ISIM proView Sensor / netView Sensor / View Point вы можете изменить периодичность создания секций для уменьшения их объема. Подробнее см. Руководство администратора PT ISIM proView Sensor / netView Sensor / View Point.

Оптимизация веб-интерфейса

Оптимизирована работа веб-интерфейса: изменился внешний вид отдельных элементов, улучшена производительность.

3. Ограничения версий

PT ISIM proView Sensor / netView Sensor / View Point версии 2.3 имеет следующие ограничения:

  • При обновлении PT ISIM proView Sensor / netView Sensor / View Point до версии 2.3 потребуется заново настроить сетевые интерфейсы, в том числе добавить интерфейсы, с которых перехватывается анализируемый трафик, в виртуальный интерфейс bond. Для этого в процессе установки отобразится окно настройки интерфейсов.
  • Статистическая информация (в отчетах и на странице Статистика) не отображается для протоколов DHCP, GOOSE, PROFINET, S7 (ISO), Vnet/IP и ARP.
  • Статистическая информация (в отчетах и на странице Статистика) включает в себя только данные (о событиях, узлах, соединениях, инцидентах), которые были обнаружены в PT ISIM proView Sensor / netView Sensor / View Point версий 2.0 и выше.
  • После любого обновления PT ISIM proView Sensor / netView Sensor / View Point данные в режиме расследования на странице Узлы отображаются только за период с момента обновления; данные за период до обновления не сохраняются.
  • Схема узлов отображается без задержек не более чем при 2500 узлов или 5000 соединений.
    PT ISIM proView Sensor / netView Sensor / View Point не поддерживает обновление времени на сервере по NTP. Перевод времени назад (по NTP или вручную) может привести к некорректной работе продукта.
  • При обновлении продукта прерывается процесс сбора и анализа трафика. Рекомендуется выполнять обновление в период, когда отсутствие мониторинга сети будет наиболее приемлемым.

Только для PT ISIM proView Sensor / netView Sensor:

  • Обновление PT ISIM proView Sensor / netView Sensor до версии 2.3 возможно только с версий 2.0 или выше. Если требуется обновить продукт версии 1.6 или 1.8, вы можете обновить его до версии 2.0, 2.1 или 2.2, после чего обновить до версии 2.3.
  • Если PT ISIM proView Sensor / netView Sensor подключен к PT ISIM Overview Center, то для обновления продукта до версии 2.3 через PT ISIM Overview Center потребуется установить последнюю версию пакета интеграции ptisim-overview-updater на стороне PT ISIM proView Sensor / netView Sensor.

 


Read more »



Jun
30
Новый пакет экспертизы MaxPatrol SIEM
Posted by Roman Kyarimov on 30 June 2020 09:29

Новый пакет экспертизы MaxPatrol SIEM помогает обнаружить еще две тактики для развития атаки злоумышленниками

Теперь пользователи MaxPatrol SIEM могут выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактик «Повышение привилегий в системе» (Privilege escalation) и «Управление и контроль» (Command and control) по модели MITRE ATT&CK.

Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов.

Описание новых правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 23.

 


Read more »