Support
ПОИСК
Новости
Jun
3
MaxPatrol EDR 6.0
Автор Ivan Kolosov на 03 June 2024 18:02

MaxPatrol EDR 6.0: новые возможности

Мы рады сообщить о выпуске новой версии MaxPatrol EDR. В этом релизе улучшили средства обнаружения и реагирования, сосредоточившись на работе с файлами. А также добавили возможность реагирования на уровне учетных записей и упростили настройку мониторинга для Linux-систем.

Что нового:

  • Обнаружение подозрительных файлов.
    Можно отслеживает появление в системе файлов с заданным расширением, в заданной папке или если он был создан определенным процессом. Это позволит закрывать сценарии распространения ВПО через браузеры, мессенджеры и почтовые приложения. А также пригодится в случаях, когда нужно контролировать сохранение файлов в директории, из которой производится автозагрузка и запуск легитимных процессов.
  • Проверка файлов по хеш-сумме.
    В базе модуля заложено более 40 000 хешей файлов, связанных с угрозами, обнаруженных впервые или признанных PT ESC актуальными за последнюю неделю. Это дает возможность быстро проверить файлы и значительно снизить количество ложноположительных срабатываний. Данные в базе обновляются каждый час.
  • Карантин файлов.
    В качестве альтернативы удалению вредоносного файла появилась опция помещения его в карантин. Она полезна для работы с файлами в рамках расследования, и позволяет при необходимости восстановить их в целевой системе. Рекомендуется использовать этот тип реакции в автоматическом режиме при сработках YARA-сканера, корреляций с высокой степенью достоверности и опасности, вердиктах песочницы и проверки файлов по хешам.
  • Модуль блокировки учетных записей.
    Позволяет завершать сеансы и блокировать локальные учетные записи в случае их компрометации. Для удобства управления предусмотрены разблокировка и просмотр списка УЗ на хосте.
  • Установщик auditd.
    Упрощает настройку продукта за счет автоматической доставки конфигурации сбора системных событий Linux, достаточной для детектирования коррелятором.

Улучшения:

  • Проверка файлов без поведенческого анализа.
    Добавлено новое действие модуля отправки файлов в PT Sandbox, которое позволяет быстро сканировать файлы в многопоточном режиме с помощью антивирусов сторонних разработчиков, проверять архивы и применять другие методы статического анализа (YARA-сканирование, проверка по базе IoC). Проверка занимает около минуты, поведенческий анализ не выполняется.
  • Health Check подключения.
    Мониторит проблемы с подключением PT Sandbox и сообщает о них в интерфейсе модуля.
  • Снижение нагрузки при повторных проверках в песочнице.
    Файлы, которые уже отправлялись на проверку и ожидают вердикта, не будут отправляться снова, что снизит очередь в PT Sandbox.
  • Просмотр покрываемых техник MITRE ATT&CK
    При настройке модулей «Коррелятор (Windows)» и «Коррелятор (Linux)» для каждого события отображаются покрываемые техники из матрицы MITRE ATT&CK. Это помогает правильно настроить автоматическое реагирование и выбрать идентичные действия для одинаковых техник.
  • Работа с временными интервалами в агентских задачах.
    Новые операторы в PDQL позволят использовать агентские задачи для большего количества процессов. Например, удалить VDI-машины через заданный период времени, найти все узлы, которые не подключались больше месяца, удалить их или переместить в группу, с которой разбираются администраторы.

Читать подробнее...