Positive Technologies
  • О компании
  • Новости
  • MaxPatrol SIEM выявляет подозрительную активность при удаленном доступе, организованном с помощью Check Point
Новости

MaxPatrol SIEM выявляет подозрительную активность при удаленном доступе, организованном с помощью Check Point

Последние новости

Эксперты Positive Technologies приняли участие в запуске «поезда кибербезопасности»
Positive Technologies: группировка, известная кибератаками на Латинскую Америку, добралась до России
АКРА присвоило Positive Technologies кредитный рейтинг АА(RU) со стабильным прогнозом
Смотреть все

Теперь пакет экспертизы для безопасной удаленной работы в MaxPatrol SIEM покрывает аномалии, связанные с использованием межсетевого экрана Check Point. Компания Check Point — успешный игрок на рынке информационной безопасности и занимает четвертое место по объему продаж аппаратных средств безопасности в IV квартале 2019 года, по данным IDC.

На прошлой неделе в MaxPatrol SIEM был загружен пакет экспертизы ¹ для выявления сетевых аномалий при удаленной работе. Эксперты Positive Technologies пополнили пакет кейсами для обнаружения подозрительной активности при организации удаленной работы с помощью межсетевого экрана Check Point. Это позволит вовремя обнаружить нелегитимные подключения из-за периметра компании.

Теперь MaxPatrol SIEM умеет собирать и анализировать события подсистемы VPN от четырех последних версий межсетевого экрана Check Point с операционной системой GAiA. Благодаря этому пользователи MaxPatrol SIEM могут обнаруживать:

  • атаки на файрвол Check Point методом перебора (зная пароль, используемый для подключения, злоумышленники могут получить доступ в корпоративную сеть);
  • смену IP-адресов пользователей при VPN-подключении к сетевым узлам, где установлен этот межсетевой экран (смена IP-адреса говорит о необычном поведении, которое необходимо расследовать для исключения инцидента).

Пакет экспертизы продолжит еженедельно пополняться новыми кейсами.

 

  1. В MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат 370 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.