MaxPatrol SIEM с защитой от блокировщиков
Компания Positive Technologies представила новую версию MaxPatrol SIEM – системы для выявления инцидентов ИБ в реальном времени. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya. Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки, несмотря на изменения в ИТ-инфраструктуре компании.
Основные изменения в новой версии MaxPatrol SIEM, поясняют в компании, связаны с обнаружением и локализацией эпидемий криптолокеров, жертвами которых за последние месяцы стали сотни компаний по всему миру. Новые технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят проще выявлять любые угрозы такого типа.
Новый алгоритм идентификации аппаратных и программных элементов ИТ-инфраструктуры учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что особенно важно при использовании DHCP-сервера и работе за NAT.
Реализованная в новой версии технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров либо убедиться, что критической инфраструктуре предприятия эпидемия не угрожает.
MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. Это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, чтобы проверить, нет ли в сети зараженных WannaCry или NotPetya узлов, достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).
MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логические функции И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2017-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.
В новой версии можно создавать табличные списки, что позволяет выявлять инциденты ИБ на основе сложных корреляций длиной до нескольких лет. Это особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.
Помимо новых возможностей выявления и анализа инцидентов, улучшен интерфейс системы, появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии ИТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.