MaxPatrol SIEM выявляет атаки на внутренние веб-сервисы

В систему выявления инцидентов MaxPatrol SIEM загружен тридцатый пакет экспертизы. Вместе с межсетевым экраном уровня веб-приложений PT Application Firewall он позволяет выявлять подозрительные активности в работе веб-сервисов во внутренней сети.

Вместе с пакетом экспертизы, который включает набор правил корреляции, пользователи MaxPatrol SIEM получили обновленные правила нормализации для получения большего количества информации о событиях в PT Application Firewall. Все срабатывания правил корреляции в PT Application Firewall теперь отображаются в списке инцидентов в MaxPatrol SIEM, а срабатывания правил в рамках одной сессии пользователя объединяются в одну карточку. Это позволит получать подробный контекст о кибератаках на веб-сервисы прямо в SIEM-системе.

C помощью новых правил корреляции MaxPatrol SIEM может выявлять атаки на внутренние веб-сервисы. Это позволит усилить защищенность ресурсов в случае, если они не подключены к PT Application Firewall. «В некоторых компаниях к PT Application Firewall подключают только те сервисы, которые публично доступны из интернета, защищая таким образом исключительно периметр компании, — комментирует Данил Зарипов, специалист отдела разработки базы знаний Positive Technologies. — В этом случае внутренние веб-сервисы остаются без защиты. Новый пакет экспертизы в MaxPatrol SIEM поможет выявить подозрительную активность в таких веб-приложениях и провести расследование».

Например, MaxPatrol SIEM сообщит оператору, если кто-то подключается к веб-ресурсам с использованием ПО для автоматизации запросов к приложению и это происходит с сетевого узла, которому не разрешена такая активность. Таким образом злоумышленники могут автоматически просканировать страницы веб-ресурса в целях разведки и сбора интересующих данных.

Еще один кейс — подключения браузера без графического интерфейса, например Headless Chrome. Такая техника используется для имитации действий реального пользователя, что помогает злоумышленникам обходить защиту от ботов.

Кроме того, пользователи MaxPatrol SIEM узнают о множественных попытках подключения к несуществующим страницам (ошибка 404), об обращениях к несуществующим артефактам веб-сервисов или соединениях без информации о браузере. Такие активности могут также свидетельствовать о действиях злоумышленников.

Чтобы начать использовать пакет экспертизы для выявления атак на внутренние веб-сервисы, нужно обновить MaxPatrol SIEM до версии 6.1 или 6.2 и установить правила из пакета экспертизы.