MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL

MaxPatrol SIEM пополнилась пакетом экспертизы для выявления подозрительной активности в системах управления базами данных PostgreSQL. 9 правил в составе пакета помогут оперативно обнаружить злоумышленников и не допустить кражи данных и вывода системы из строя.

Список детектируемых активностей — в руководстве по установке и использованию пакета экспертизы. Чтобы начать его использовать, обновите MaxPatrol SIEM до версии 23 или выше.

Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на Oracle Database и Microsoft SQL Server.

MaxPatrol SIEM покрывает тактики «Сбор данных» и «Воздействие»

В MaxPatrol SIEM загружен новый пакет экспертизы для выявления атак с тактиками по матрице MITRE ATT&CK. В его состав вошли 14 правил корреляции, которые детектируют применение тактик «Сбор данных» (Collection) и «Воздействие» (Impact).

Новый пакет экспертизы позволяет выявить случаи, когда в скомпрометированной сети злоумышленники собирают информацию для ее последующей кражи, а также когда они управляют системами и данными, что может нарушить работу компании.

Теперь MaxPatrol SIEM покрывает 10 из 12 тактик по модели MITRE ATT&CK.

Описание всех 14-и правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 23.

PT ISIM proView Sensor / netView Sensor Update

New features and improvements in PT ISIM proView Sensor / netView Sensor version 2.4

1. New features

Incident display modes 

In the new version of PT ISIM proView Sensor / netView Sensor, the Incidents page has been fully upgraded. You can now view incidents in different modes:
• In live mode, which is intended for estimating the current state of the analyzed system. This mode displays only unclosed incidents. In live mode, you can view data as a summary and as a table.
• In "All incidents" mode, which enables you to view all incidents recorded in PT ISIM proView Sensor / netView Sensor and search for specific incidents using filtering by parameters. In this mode, you can download a list of incidents in CSV format and create an incident report.
Instructions on how to manage incidents are provided in the PT ISIM proView Sensor / netView Sensor Operator Guide.

2. Improvements

Downloading large PCAP files

In previous versions, a copy of traffic related to events or incidents can be downloaded only as an archive containing PCAP files for the appropriate period. Depending on the type of traffic and the number and size of the PCAP files, such a download may take a while and increase the system load. In this version, if the size of an archive with PCAP files exceeds 500 MB, a text file with a link to download the PCAP files from the PT ISIM proView Sensor / netView Sensor server is downloaded instead. You can download such PCAP files by following the link from the file or using file retrieval tools (for example, wget).
For details, see the PT ISIM proView Sensor / netView Sensor Operator Guide.

List of available fields in notification templates

In PT ISIM proView Sensor / netView Sensor, you can change the templates of incident notifications that the product sends over syslog or by email. In the templates, you can use incident parameters as variables to insert real values of these parameters in notifications. To facilitate the search for all available parameters, the new version of PT ISIM proView Sensor / netView Sensor contains the file /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml, which includes the names of all incident parameters in the format that can be used in the templates.
For details, see the PT ISIM proView Sensor / netView Sensor Administrator Guide.

Displaying event time

In PT ISIM proView Sensor / netView Sensor 2.3 and earlier, events are displayed with an accuracy of seconds. In PT ISIM proView Sensor / netView Sensor 2.4, events are displayed with an accuracy of milliseconds. Such accuracy makes it possible to distinguish events from one another when multiple events occur in one second. Updating the product to version 2.4 initiates the process of migrating events to the new timestamp format.
For details, see the PT ISIM proView Sensor / netView Sensor Administrator Guide.

Saving data in history mode after an update

In previous versions, the history mode has a limitation: only the data received after the latest product update is available. In version 2.4, there is no such limitation. The node diagram can now display data for a point in time preceding the product update to version 2.4.

For additional details, see the PT ISIM proView Sensor / netView Sensor Release Notes.

Обновление PT ISIM proView Sensor / netView Sensor

Новые возможности и улучшения в PT ISIM proView Sensor / netView Sensor версии 2.4

1. Новые возможности

Режимы отображения инцидентов

В новой версии PT ISIM proView Sensor / netView Sensor полностью переработана страница Инциденты.
Теперь вы можете просматривать инциденты в разных режимах:
• В оперативном режиме, который предусмотрен для оценки текущего состояния анализируемой системы. В оперативном режиме отображаются только незакрытые инциденты, в нем вы можете просматривать данные в виде сводки и в виде таблицы.
• В режиме "Все инциденты", который позволяет просматривать все инциденты в PT ISIM proView Sensor / netView Sensor и служит для поиска наиболее интересных инцидентов с помощью фильтрации по параметрам. В этом режиме вы можете выгружать список инцидентов в формате CSV и создавать отчеты по инцидентам.
Инструкции по работе с инцидентами приводятся в Руководстве оператора PT ISIM proView Sensor / netView Sensor.

Обновление базы правил (только для PT ISIM proView Sensor / netView Sensor)

Начиная с версии 2.3 вы можете обновлять базы правил обработки трафика отдельно от остального продукта. Обновления могут быть получены с сервера обновлений "Позитив Текнолоджиз" (при наличии стабильного сетевого подключения) или на внешнем носителе. Установка полученных пакетов обновлений доступна через веб-интерфейс PT ISIM proView Sensor / netView Sensor. Подробнее об обновлении базы правил см. Руководство администратора PT ISIM proView Sensor / netView Sensor.

2. Улучшения

Выгрузка PCAP-файлов большого размера

При выгрузке копии трафика, относящегося к событиям или инцидентам, все PCAP-файлы за подходящий период выгружались единым архивом. В зависимости от характера трафика, количества и размера PCAP-файлов такая выгрузка могла занять определенное время и нагружала систему. Теперь, если размер архива с PCAP-файлами превышает 500 МБ, то вместо самих PCAP-файлов будет выгружаться текстовый файл с ссылкой для их скачивания на сервере PT ISIM proView Sensor / netView Sensor. Вы можете выгрузить такие PCAP-файлы по отдельности, перейдя по ссылке из этого файла или воспользовавшись инструментами для загрузки файлов, например wget.
Подробнее см. Руководство оператора PT ISIM proView Sensor / netView Sensor.

Список доступных полей в шаблонах уведомлений

В PT ISIM proView Sensor / netView Sensor вы можете изменять шаблоны уведомлений об инцидентах, которые продукт отправляет в syslog или по электронной почте. В шаблонах вы можете использовать параметры инцидентов в качестве переменных для подстановки в текст уведомлений реальных значений этих параметров. Для удобства поиска всех доступных для подстановки параметров в новой версии PT ISIM proView Sensor / netView Sensor теперь содержится файл /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml, в котором приводятся названия всех параметров инцидентов в том виде, в котором их можно использовать в шаблонах.
Подробнее см. Руководство администратора PT ISIM proView Sensor / netView Sensor.

Отображение времени событий

В PT ISIM proView Sensor / netView Sensor версии 2.3 и ранее события отображались с точностью до секунд. В PT ISIM proView Sensor / netView Sensor версии 2.4 события отображаются с точностью до миллисекунд. Такая точность позволит отличать события друг от друга в случаях, когда за одну секунду происходит большое количество событий. Во время обновления продукта до версии 2.4 будет запущен процесс миграции событий для приведения временной метки прежних событий в новых формат.
Подробнее см. Руководство администратора PT ISIM proView Sensor / netView Sensor.

Сохранение данных в режиме расследования после обновления

В прошлых версиях существовало ограничение на работу режима расследования: данные в нем были доступны только с момента последнего обновления продукта. В версии 2.4 это ограничение снято, теперь данные на схеме узлов могут быть отображены в том числе на момент времени, предшествующий обновлению на версию 2.4.

Подробнее см. Обзор новых возможностей PT ISIM proView Sensor / netView Sensor.