Maxpatrol SIEM научилась выявлять атаки на внутренние веб-сервисы

В систему выявления инцидентов Maxpatrol SIEM загружен тридцатый пакет экспертизы. Вместе с межсетевым экраном уровня веб-приложений PT Application Firewall он позволяет выявлять подозрительные активности в работе веб-сервисов во внутренней сети. Об этом CNews сообщили в пресс-службе компании Positive Technologies.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Вместе с пакетом экспертизы, который включает набор правил корреляции, пользователи Maxpatrol SIEM получили обновленные правила нормализации для получения большего количества информации о событиях в PT Application Firewall. Все срабатывания правил корреляции в PT Application Firewall теперь отображаются в списке инцидентов в Maxpatrol SIEM, а срабатывания правил в рамках одной сессии пользователя объединяются в одну карточку. Это позволит получать подробный контекст о кибератаках на веб-сервисы прямо в SIEM-системе.

C помощью новых правил корреляции Maxpatrol SIEM может выявлять атаки на внутренние веб-сервисы. Это позволит усилить защищенность ресурсов в случае, если они не подключены к PT Application Firewall. «В некоторых компаниях к PT Application Firewall подключают только те сервисы, которые публично доступны из интернета, защищая таким образом исключительно периметр компании, - сказал Данил Зарипов, специалист отдела разработки базы знаний Positive Technologies. - В этом случае внутренние веб-сервисы остаются без защиты. Новый пакет экспертизы в Maxpatrol SIEM поможет выявить подозрительную активность в таких веб-приложениях и провести расследование».

Например, Maxpatrol SIEM сообщит оператору, если кто-то подключается к веб-ресурсам с использованием ПО для автоматизации запросов к приложению и это происходит с сетевого узла, которому не разрешена такая активность. Таким образом злоумышленники могут автоматически просканировать страницы веб-ресурса в целях разведки и сбора интересующих данных.

Еще один кейс - подключения браузера без графического интерфейса, например, Headless Chrome. Такая техника используется для имитации действий реального пользователя, что помогает злоумышленникам обходить защиту от ботов.

Кроме того, пользователи Maxpatrol SIEM узнают о множественных попытках подключения к несуществующим страницам (ошибка 404), об обращениях к несуществующим артефактам веб-сервисов или соединениях без информации о браузере. Такие активности могут также свидетельствовать о действиях злоумышленников.

Чтобы начать использовать пакет экспертизы для выявления атак на внутренние веб-сервисы, нужно обновить Maxpatrol SIEM до версии 6.1 или 6.2 и установить правила из пакета экспертизы. Их полный список доступен в описании пакета.

Поделиться Подписаться на новости Короткая ссылка

Нажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.

Цедал Нили: не совершайте главную ошибку при возвращении в офис

Менеджмент Статьи РБК Многие руководители стараются забыть про опыт удаленной работы после возвращения в офис, но профессор Гарварда Цедал Нили считает такой подход опасным. Какие пять ошибок менеджеры совершают чаще всего - в подборке ее идей ...


Группы: ВК|Fb|Tw|OK
Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202112Новости, 202112 → Maxpatrol SIEM научилась выявлять атаки на внутренние веб-сервисы