Эксперты Positive Technologies выпустили обновление к загруженным ранее пакетам экспертизы для выявления атак в операционных системах семейства Linux. Обновление увеличивает точность обнаружения угроз благодаря снижению количества ложных срабатываний и делает удобнее добавление исключений для правил и настройку источников.
Начиная с 2019 года в MaxPatrol SIEM были загружены три пакета экспертизы под Linux-системы: выявление подозрительной сетевой активности приложений и учетных записей, попытки закрепления атакующих в инфраструктуре и подозрительные действия пользователей. Суммарно было разработано 23 правила обнаружения угроз.
Эксперты Positive Technologies добавили автоматический механизм профилирования для новых сетевых узлов в IT-инфраструктуре. Для каждого из них на протяжении двух недель все события добавляются в список исключений. Это необходимо для снижения количества уведомлений.
Пользователи могут и самостоятельно добавлять исключения для правил. Это можно делать вручную или в пару кликов в разделе «События». Исключения для первого пакета экспертизы теперь заносятся в единый табличный список (раньше у него было несколько списков).
Еще одно обновление: в описание пакетов экспертизы добавлена инструкция по настройке источников сбора данных с помощью роли системы управления конфигурациями Ansible. До этого настройка источников была возможна с помощью специального скрипта на Python. Теперь пользователи могут выбрать наиболее удобный для них способ.