Support
News
Jun
19
MultiScanner 2.3
Posted by Maxim Ivanov on 19 June 2019 17:14

MultiScanner Update

New features and improvements in MultiScanner version 2.3

1. New features

1.1. Creating high availability cluster

Starting with version 2.3, you can deploy PT MS in a high availability cluster. For this, you must install three PT MS nodes on separate virtual machines or physical servers. If a hardware component (such as a hard drive or RAM module) or physical server fails or one of the PT MS nodes is disconnected from the network, the product will continue processing file check tasks.
Like in the earlier version, you can install additional PT MS nodes that perform only behavioral analysis. You can connect such nodes to the main PT MS node in a high availability cluster or without it.

1.2. Creating local update mirror

PT MS can now check files and receive updates in a network segment isolated from the Internet. If the information security policy of your organization prohibits Internet access for PT MS or if the server with PT MS has no Internet communication channel, you can install a local update mirror in a demilitarized zone. The mirror will download updates from the Positive Technologies website. To transfer updates from the mirror to PT MS, you can copy them manually using external media or configure files to be automatically replicated from the local mirror to PT MS.

1.3. Turning off anonymous file checking

Users who do not sign in to PT MS can check files anonymously. If the information security policy of your organization does not allow anonymous checking, you can now turn it off on the MultiScanner settings page.

2. Improvements

You can now specify proxy server connection parameters for the APT package manager in Ubuntu. When PT MS is installed on a host with an operating system pre-installed and when PT MS is updated, the product can download the necessary packages using the APT manager. If a proxy server is used to access the Internet, you must specify the parameters required to connect to this proxy server so that dependent packages can be downloaded when the product is installed or updated. If PT MS is installed using an ISO file, proxy server connection parameters are not required because the necessary dependencies are installed from this file.

Обновление MultiScanner

Новые возможности и улучшения в MultiScanner версии 2.3

1. Новые возможности

1.1. Создание кластера высокой доступности

Начиная с версии 2.3 вы можете развернуть PT MS в кластере высокой доступности. Для этого вам нужно установить три узла с PT MS на отдельных виртуальных машинах или физических серверах. При выходе из строя любого аппаратного компонента (например, жесткого диска или модуля ОЗУ), физического сервера или при потере сетевого доступа к одному из узлов PT MS продукт продолжит обрабатывать задачи на проверку файлов в штатном режиме.
Как и в предыдущей версии, вы можете устанавливать дополнительные узлы PT MS, которые будут выполнять только поведенческий анализ. Такие узлы можно подключать к основному узлу PT MS как в кластере высокой доступности, так и без него.

1.2. Создание локального зеркала обновлений

Теперь PT MS может проверять файлы и обновляться в изолированном от интернета сегменте сети. Если политика информационной безопасности организации запрещает доступ в интернет для PT MS или если у сервера с PT MS отсутствует канал связи с интернетом, вы можете установить локальное зеркало обновления в демилитаризованной зоне. Это зеркало будет загружать обновления с сайта "Позитив Текнолоджиз". Для передачи файлов обновлений с зеркала в PT MS вы можете либо вручную копировать их при помощи внешнего носителя, либо настроить автоматическую репликацию файлов между локальным зеркалом и PT MS.

1.3. Отключение анонимной проверки файлов

Пользователи, которые не вошли в PT MS, могут проверять файлы анонимно. Теперь, если политика информационной безопасности организации не разрешает подобную проверку, вы можете отключить ее на странице Параметры MultiScanner.

2. Улучшения

Теперь вы можете указать параметры подключения к прокси-серверу для пакетного менеджера APT в Ubuntu. При установке PT MS на узел с уже установленной ОС и при обновлении PT MS продукт может загружать необходимые ему пакеты с помощью менеджера APT. Если доступ в интернет осуществляется через прокси-сервер, вам нужно указать параметры подключения к этому прокси-серверу для загрузки зависимых пакетов во время установки или обновления продукта. При установке PT MS с помощью ISO-файла указывать параметры подключения к прокси-серверу не нужно, поскольку необходимые зависимости устанавливаются из этого файла.

 


Read more »



Jun
4
Новый пакет экспертизы MaxPatrol SIEM
Posted by Roman Kyarimov on 04 June 2019 16:57

MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: 15 правил корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

Это первый пакет экспертизы из специальной серии, которую создадут специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center). Каждый из пакетов выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Более подробное описание первого пакета из серии читайте в документе «Описание пакета экспертизы №7».

Подробная инструкция по установке и использованию пакета экспертизы доступна в документе «Пакет экспертизы № 7. Выявление атак, использующих тактики "Выполнение" и "Обход защиты" (по классификации MITRE ATT&.

 


Read more »



May
23
PT ISIM View Sensor 1.6
Posted by Maxim Ivanov on 23 May 2019 17:52

PT ISIM View Sensor update

1. New features and improvements in PT ISIM View Sensor 1.6.

New recognized protocols

The list of recognized protocols now also includes RIP, BGP, SSDP, DICOM, NTP, HART-IP, BACnet, LDAP, CLDAP, Kerberos, CPHA, CUPS, RADIUS, DIAMETER, PTP, MQTT, CoAP, S7CommPlus, FTE, Fieldbus. Recognized protocols do not have specific incident detection rules in PT ISIM View Sensor, but each instance of their use is recorded as an "Unauthorized <protocol name> connection" incident.

Upgrade to Debian 9

The operating system of the product has been upgraded from Debian 8 to Debian 9. The upgrade optimizes the operation of PT ISIM View Sensor services and improves the performance of the product.

Transition to PostgreSQL

PostgreSQL has replaced SQLite as the main DBMS, which improves the stability of the product.

Performance and stability

Processor utilization has been optimized, and the performance of PT ISIM View Sensor has been improved. Managing large amounts of data via the web interface is now more stable (for example, changing the state of a large number of incidents simultaneously does not cause an error). The configurator, which is available in PT ISIM proView Sensor, now lets you upload significantly larger SCL files and configuration files.

2. Limitations of version 1.6.

You cannot update PT ISIM View Sensor 1.5 or earlier to version 1.6.

  

Обновление PT ISIM View Sensor

1. Новые возможности и улучшения в PT ISIM View Sensor версии 1.6.

Новые распознаваемые протоколы

Расширен список распознаваемых протоколов, в него добавлены протоколы RIP, BGP, SSDP, DICOM, NTP, HART-IP, BACnet, LDAP, CLDAP, Kerberos, CPHA, CUPS, RADIUS, DIAMETER, PTP, MQTT, CoAP, S7CommPlus, FTE, Fieldbus. Распознаваемые протоколы не имеют в PT ISIM View Sensor специфичных правил обнаружения инцидентов, но каждый факт их использования в сети фиксируется в виде инцидента "Неразрешенное соединение по протоколу <Название протокола>".

Переход на Debian 9

Операционная система продукта обновлена с Debian 8 на Debian 9. Данное обновление позволило оптимизировать работу служб PT ISIM View Sensor и повысить производительность продукта.

Переход на PostgreSQL

Основная СУБД была изменена с SQLite на PostgreSQL, что позволило повысить стабильность продукта.

Производительность и стабильность работы

Оптимизировано потребление ресурсов процессора и улучшена производительность PT ISIM View Sensor. В веб-интерфейсе стабилизирована работа с большим количеством данных (например, одновременная смена статусов большого количества инцидентов не приводит к ошибке). В конфигураторе, доступном в PT ISIM proView Sensor, теперь можно загружать гораздо большие SCL-файлы и файлы конфигураций..

2. Ограничения версии 1.6.

Невозможно обновление PT ISIM View Sensor версии 1.5 и более ранних на версию 1.6.

 


Read more »