|
|
MaxPatrol EDR 6.0: новые возможности
|
Мы рады сообщить о выпуске новой версии MaxPatrol EDR. В этом релизе улучшили средства обнаружения и реагирования, сосредоточившись на работе с файлами. А также добавили возможность реагирования на уровне учетных записей и упростили настройку мониторинга для Linux-систем.
Что нового:
- Обнаружение подозрительных файлов.
Можно отслеживает появление в системе файлов с заданным расширением, в заданной папке или если он был создан определенным процессом. Это позволит закрывать сценарии распространения ВПО через браузеры, мессенджеры и почтовые приложения. А также пригодится в случаях, когда нужно контролировать сохранение файлов в директории, из которой производится автозагрузка и запуск легитимных процессов.
- Проверка файлов по хеш-сумме.
В базе модуля заложено более 40 000 хешей файлов, связанных с угрозами, обнаруженных впервые или признанных PT ESC актуальными за последнюю неделю. Это дает возможность быстро проверить файлы и значительно снизить количество ложноположительных срабатываний. Данные в базе обновляются каждый час.
- Карантин файлов.
В качестве альтернативы удалению вредоносного файла появилась опция помещения его в карантин. Она полезна для работы с файлами в рамках расследования, и позволяет при необходимости восстановить их в целевой системе. Рекомендуется использовать этот тип реакции в автоматическом режиме при сработках YARA-сканера, корреляций с высокой степенью достоверности и опасности, вердиктах песочницы и проверки файлов по хешам.
- Модуль блокировки учетных записей.
Позволяет завершать сеансы и блокировать локальные учетные записи в случае их компрометации. Для удобства управления предусмотрены разблокировка и просмотр списка УЗ на хосте.
- Установщик auditd.
Упрощает настройку продукта за счет автоматической доставки конфигурации сбора системных событий Linux, достаточной для детектирования коррелятором.
Улучшения:
- Проверка файлов без поведенческого анализа.
Добавлено новое действие модуля отправки файлов в PT Sandbox, которое позволяет быстро сканировать файлы в многопоточном режиме с помощью антивирусов сторонних разработчиков, проверять архивы и применять другие методы статического анализа (YARA-сканирование, проверка по базе IoC). Проверка занимает около минуты, поведенческий анализ не выполняется.
- Health Check подключения.
Мониторит проблемы с подключением PT Sandbox и сообщает о них в интерфейсе модуля.
- Снижение нагрузки при повторных проверках в песочнице.
Файлы, которые уже отправлялись на проверку и ожидают вердикта, не будут отправляться снова, что снизит очередь в PT Sandbox.
- Просмотр покрываемых техник MITRE ATT&CK
При настройке модулей «Коррелятор (Windows)» и «Коррелятор (Linux)» для каждого события отображаются покрываемые техники из матрицы MITRE ATT&CK. Это помогает правильно настроить автоматическое реагирование и выбрать идентичные действия для одинаковых техник.
- Работа с временными интервалами в агентских задачах.
Новые операторы в PDQL позволят использовать агентские задачи для большего количества процессов. Например, удалить VDI-машины через заданный период времени, найти все узлы, которые не подключались больше месяца, удалить их или переместить в группу, с которой разбираются администраторы.
Читать подробнее...
|
|
|
|