
Уважаемые пользователи!
Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), уделяется особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.
Все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения были добавлены правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.
Сделано это с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:
- доступ к учетным данным внутри контейнера;
- запуск контейнера на неконтейнерной системе;
- запуск контейнера с избыточными правами;
- запуск контейнера с доступом к ресурсам хоста;
- сбор информации о контейнерах с помощью стандартных инструментов;
- поиск слабых мест в контейнерах с помощью стандартных инструментов;
- поиск уязвимостей безопасности в контейнерах с помощью специальных утилит.
Кроме того, доработаны множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).
Новые и доработанные нормализаторы
В свежем обновлении добавлены нормализаторы, позволяющие работать со следующими источниками событий:
- [OOTB] OpenLDAP
- [OOTB] Avaya Aura Communication Manager syslog
- [OOTB] Orion soft Termit syslog
- [OOTB] Postfix
- [OOTB] Barracuda Web Security Gateway syslog
- [OOTB] Parsec ParsecNET
- [OOTB] NetApp SnapCenter file
- [OOTB] CommuniGate Pro
- [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
- [OOTB] Yandex Cloud
- [OOTB] Barracuda Cloud Email Security Gateway syslog
А еще, были доработаны нормализаторы для вот этих источников:
- [OOTB] Yandex Browser
- [OOTB] Citrix NetScaler syslog
- [OOTB] KSC from SQL
- [OOTB] Microsoft Products for KUMA 3
- [OOTB] Gardatech Perimeter syslog
- [OOTB] KSC PostgreSQL
- [OOTB] Linux auditd syslog for KUMA 3.2
- [OOTB] Microsoft Products via KES WIN
- [OOTB] PostgreSQL pgAudit syslog
- [OOTB] ViPNet TIAS syslog
С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции.
___________________________________________________________________________________________________________________
Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru
Помните, что не только Вашему бизнесу нужна защита!
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО».
Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС
Приятной работы!
|