Вместе с пакетом экспертизы, который включает набор правил корреляции, пользователи Maxpatrol SIEM получили обновленные правила нормализации для получения большего количества информации о событиях в PT Application Firewall. Все срабатывания правил корреляции в PT Application Firewall теперь отображаются в списке инцидентов в Maxpatrol SIEM, а срабатывания правил в рамках одной сессии пользователя объединяются в одну карточку. Это позволит получать подробный контекст о кибератаках на веб-сервисы прямо в SIEM-системе.
C помощью новых правил корреляции Maxpatrol SIEM может выявлять атаки на внутренние веб-сервисы. Это позволит усилить защищенность ресурсов в случае, если они не подключены к PT Application Firewall. «В некоторых компаниях к PT Application Firewall подключают только те сервисы, которые публично доступны из интернета, защищая таким образом исключительно периметр компании, - сказал Данил Зарипов, специалист отдела разработки базы знаний Positive Technologies. - В этом случае внутренние веб-сервисы остаются без защиты. Новый пакет экспертизы в Maxpatrol SIEM поможет выявить подозрительную активность в таких веб-приложениях и провести расследование».
Например, Maxpatrol SIEM сообщит оператору, если кто-то подключается к веб-ресурсам с использованием ПО для автоматизации запросов к приложению и это происходит с сетевого узла, которому не разрешена такая активность. Таким образом злоумышленники могут автоматически просканировать страницы веб-ресурса в целях разведки и сбора интересующих данных.
Еще один кейс - подключения браузера без графического интерфейса, например, Headless Chrome. Такая техника используется для имитации действий реального пользователя, что помогает злоумышленникам обходить защиту от ботов.
Кроме того, пользователи Maxpatrol SIEM узнают о множественных попытках подключения к несуществующим страницам (ошибка 404), об обращениях к несуществующим артефактам веб-сервисов или соединениях без информации о браузере. Такие активности могут также свидетельствовать о действиях злоумышленников.
Чтобы начать использовать пакет экспертизы для выявления атак на внутренние веб-сервисы, нужно обновить Maxpatrol SIEM до версии 6.1 или 6.2 и установить правила из пакета экспертизы. Их полный список доступен в описании пакета.
Нажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.