В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки киберпреступников получить доступ к инфраструктуре.
В связи с уходом иностранных IT-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
FreeIPA — контроллер домена для Linux-систем, посредством которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита. Представляет собой альтернативу службе каталогов Active Directory, разработанной Microsoft.
С помощью новых правил MaxPatrol SIEM среди прочего выявляет:
- разведку инфраструктуры во FreeIPA, выполняемую с помощью хакерских фреймворков, в частности kerbrute;
- попытки брутфорса (подбора учетных данных) и спреинга паролей (подбора одного пароля к множеству учетных записей);
- подозрительные действия пользователей, например массовую блокировку учетных записей или изменение критически важных пользовательских данных;
- LDAP1-запросы к чувствительным атрибутам в домене.
На основе FreeIPA построены другие IT-решения. Так, в Astra Linux, одной из наиболее популярных российских операционных систем, на нем реализована служба каталога ALD Pro.
Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить правила из пакета экспертизы.
- Протокол, который обычно используется для хранения и извлечения информации об инфраструктуре, ее активах, пользователях и групп пользователей.