MaxPatrol SIEM выявляет попытки закрепления атакующих в инфраструктурах на базе ОС Linux

В MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительных изменений системных объектов на узлах с ОС семейства Linux. Теперь пользователи MaxPatrol SIEM могут обнаружить действия злоумышленника, который уже проник в инфраструктуру, — его попытки закрепиться в ней, повысить привилегии или скрыть следы.

Правила, вошедшие в состав пакета экспертизы, помогают обнаружить попытки злоумышленников:

• получить информацию для авторизации в системе от имени легитимного пользователя (например, SSH-ключи пользователя ОС);
• изменить системные файлы, например сценарии запуска ОС, конфигурационные файлы ОС, системные библиотеки или исполняемые файлы, чтобы обеспечить бэкдор в скомпрометированную систему или повысить привилегии.

Ранее в MaxPatrol SIEM уже был загружен пакет экспертизы для выявления атак в ОС семейства Linux. Новая серия правил детектирования дополняет предыдущие.

Описание новых правил — в руководстве по установке и использованию пакета экспертизы. Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 22 (5.1) или выше.