MaxPatrol SIEM выявляет больше подозрительных событий, связанных с подбором логина и пароля

Эксперты Positive Technologies обновили пакет экспертизы для выявления попыток взлома учетных записей путем подбора логина и пароля (брутфорса). Это позволило уменьшить трудозатраты пользователей за счет снижения количества ложных срабатываний.

Предыдущая версия пакета экспертизы выявляла брутфорс по конкретным идентификаторам событий, таких как, например, учетная запись не смогла войти в систему, запрашивался билет на проверку подлинности Kerberos (TGT) или предварительная проверка подлинности Kerberos не удалась. Теперь попытки взлома учетных записей выявляются по макросам, которые проверяют сразу целый класс событий.

Макросы используются в конструкторе правил корреляции. С их помощью можно быстро подставить часто применяемые или сложные для самостоятельного написания фрагменты программного кода.

Пользователи MaxPatrol SIEM могут использовать как готовые макросы, написанные экспертами Positive Technologies, так и создавать собственные.

Обновление макросов позволило покрыть больше подозрительных событий, которые будут попадать в «поле зрения» правил корреляции.

В пакет экспертизы добавлено два правила. Одно позволит выявлять атаки на контроллеры домена с использованием сеансовых билетов Kerberos 1, второе — фиксирует 10 и более попыток удаленного входа в систему с одного узла на несколько узлов в течение пяти минут.

Для повышения точности срабатываний SIEM-системы было обновлено правило, выявляющее брутфорс в отношении системы для организации удаленного доступа OpenVPN, межсетевых экранов Cisco ASA, CheckPoint и Palo Alto. Ранее такие атаки выявлялись правилами из пакета экспертизы для безопасной удаленной работы.

Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версий 6.1 или 6.2 и установите обновленные правила из пакета экспертизы.

  1. Kerberos – сетевой протокол, который используется в доменных сетях для аутентификации пользователей.