MaxPatrol SIEM выявляет компрометацию сетевых устройств

В MaxPatrol SIEM загружен новый пакет экспертизы. Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.

Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.

Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версий 6.1 или 6.2 и установите правила из пакета экспертизы. Для корректной работы всех правил корреляции нужно настроить аудит и внести IP-адреса или имена узлов, с которых выполняется администрирование сетевых устройств, в отдельный табличный список Network_devices_trusted_hosts. Подробнее — в описании пакета экспертизы.