г. Минск, ул. Комсомольская 12-а. МГТС: (+375 17) 28-28-903, Velcom: (+375 29) 128 34 62, МТС: (+375 33) 666 59 03, e-mail: office@jukola.info
 
   

 

KUMA SIEM: выявление угроз на ранних этапах и другие усовершенствования

13.11.2024

касперский.png

Уважаемые пользователи!

Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), уделяется особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.

Все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения были добавлены правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.

Сделано это с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:

  • доступ к учетным данным внутри контейнера;
  • запуск контейнера на неконтейнерной системе;
  • запуск контейнера с избыточными правами;
  • запуск контейнера с доступом к ресурсам хоста;
  • сбор информации о контейнерах с помощью стандартных инструментов;
  • поиск слабых мест в контейнерах с помощью стандартных инструментов;
  • поиск уязвимостей безопасности в контейнерах с помощью специальных утилит.

Кроме того, доработаны множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).


Новые и доработанные нормализаторы

В свежем обновлении добавлены нормализаторы, позволяющие работать со следующими источниками событий:

  • [OOTB] OpenLDAP
  • [OOTB] Avaya Aura Communication Manager syslog
  • [OOTB] Orion soft Termit syslog
  • [OOTB] Postfix
  • [OOTB] Barracuda Web Security Gateway syslog
  • [OOTB] Parsec ParsecNET
  • [OOTB] NetApp SnapCenter file
  • [OOTB] CommuniGate Pro
  • [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
  • [OOTB] Yandex Cloud
  • [OOTB] Barracuda Cloud Email Security Gateway syslog

А еще, были доработаны нормализаторы для вот этих источников:

  • [OOTB] Yandex Browser
  • [OOTB] Citrix NetScaler syslog
  • [OOTB] KSC from SQL
  • [OOTB] Microsoft Products for KUMA 3
  • [OOTB] Gardatech Perimeter syslog
  • [OOTB] KSC PostgreSQL
  • [OOTB] Linux auditd syslog for KUMA 3.2
  • [OOTB] Microsoft Products via KES WIN
  • [OOTB] PostgreSQL pgAudit syslog
  • [OOTB] ViPNet TIAS syslog

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции.


___________________________________________________________________________________________________________________

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО»

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!


Количество показов: 560

Для удобства сохраните эту статью в закладки:

Список новостей