Das Informationssicherheits-Ereignisüberwachungssystem MaxPatrol SIEM bietet 44 neue Korrelationsregeln, die Benutzeraktivitäten in der Infrastruktur analysieren und atypische Verbindungen zu Unternehmenshosts und -diensten identifizieren können. Das Produkt verfolgt den Zugriff auf Executive- und Entwicklercomputer, Domänencontroller, GitLab-Server, Passwort-Manager und andere Anwendungen.
„ Unsere Erfahrung mit Netzwerkschulungen hat gezeigt, dass die Profilierung des Zugriffs auf Schlüsselknoten die einzige Möglichkeit ist, die Autorisierung von Unternehmensdiensten von bisher unbekannten IP- Adressen und Geräten zu erkennen und Angriffe frühzeitig zu stoppen, wenn im Netzwerk Lecks und Anmeldeinformations-Dumps auftreten. Diese Anomalie kommt häufig vor weist darauf hin, dass das Konto eines Mitarbeiters von Cyberkriminellen gekapert wurde, die sich aus der Ferne mit der Infrastruktur verbinden und diese durchqueren. Mit diesem neuen Know-how sind MaxPatrol SIEM- Betreiber nun in der Lage, atypische Aktivitäten zu erkennen, die im Allgemeinen legitim, für eine bestimmte Infrastruktur jedoch anormal sind und stellt daher ein Sicherheitsrisiko dar.
Mit Hilfe der neuen Regeln analysiert das Produkt die Benutzerautorisierung auf gezielten Infrastrukturknoten und in verschiedenen Anwendungen, darunter GitLab-Server, 1C-Produkte, Passwort-Manager und Domänencontroller sowie die Computer von Führungskräften, Entwicklern und anderen wichtigen Benutzern.
Insgesamt gibt es drei Profilierungsmodi:
- Sammeln Sie passiv Informationen darüber, welche Unternehmensdienste jeder Mitarbeiter nutzt (ohne Funktionen zum Auslösen entsprechender Regeln bereitzustellen);
- Automatische Analyse und Anmeldebenachrichtigungen: MaxPatrol SIEM benachrichtigt neue Berechtigungen in Enterprise Services und merkt sich die Kombination aus „Geräte-IP-Adresse und Benutzername“ (diese Ereignisse werden dem Betreiber in Zukunft nicht gemeldet);
- Strenges Profiling: Sobald Daten über Benutzervorgänge in der Infrastruktur erfasst sind, benachrichtigt das SIEM-System Informationssicherheitsanalysten sofort über jeden Zugriff, der von der Norm abweicht.
Die für die Profilerstellung verwendeten Daten stammten aus Anwendungssoftwareprotokollen sowie hostspezifischen Auditd- und Windows-Sicherheitsprotokollen. Basierend auf einer einzigartigen Sicherheits-Asset-Management-Technologie sammelt MaxPatrol SIEM Daten zu allen Assets und macht die IT-Infrastruktur für Betreiber transparent. Das Produkt identifiziert automatisch wichtige Server in Ihrer Infrastruktur und profiliert den Benutzerzugriff auf diese Server. Informationssicherheitsanalysten können wichtige zu überwachende Knoten auch manuell in das Formular eintragen.
Die Active Profiling-Funktionalität ist in MaxPatrol SIEM 7.0 und höher verfügbar. Darüber hinaus hat MaxPatrol SIEM sein Kompetenzpaket zur Erkennung von Angriffen auf der Grundlage der MITRE ATT&CK- Matrix aktualisiert, einer Wissensdatenbank, die die Taktiken, Techniken und Verfahren von Angreifern beschreibt. Insbesondere entwickelten die Experten von Positive Technologies eine Regel zur Erkennung von LSASS-Prozess-Dumps (mithilfe der bei Angreifern beliebten Hacking-Dienstprogramme PPLMedic und PPLFault) sowie eine erweiterte Regel für die Base64-Entschlüsselung in Boot-Strings (mit Encoding hilft Angreifern, ihre Aktionen zu verbergen).