Новый пакет экспертизы MaxPatrol SIEM повышает точность выявления попыток брутфорса
В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы , позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля. Правила корреляции, вошедшие в пакет, позволили повысить точность выявления инцидентов, связанных с брутфорсом, и снизить потребление памяти системы на 20%.
Специалисты компании Positive Technologies пересмотрели концепцию идентификации брутфорса. В результате написаны правила, которые помогут пользователям MaxPatrol SIEM выявлять попытки взлома, используя минимальное количество информации: данные о попытках аутентификации, объектах и субъектах брутфорса и особенностях инфраструктуры.
Если атака на конкретный субъект или с конкретного объекта продолжительная, MaxPatrol SIEM создаст один инцидент за сутки (частоту создания можно менять), а в самом инциденте сохранит статистику обо всех попытках подбора учетных данных, связанных с участниками атаки. Это снижает число уведомлений, значительно упрощает и ускоряет анализ инцидента.
С новым пакетом экспертизы появилась возможность создавать белые списки сетевых узлов и пользователей, которые используют техники перебора логина и пароля в легитимных целях, и автоматически отключать срабатывания правил по инцидентам с их участием. Например, в их числе могут оказаться узлы сканеров уязвимостей, разделяемые учетные записи, сетевые узлы в DMZ.
Новые правила были оптимизированы с целью более равномерного распределения нагрузки между компонентами MaxPatrol SIEM и протестированы на потоке в 30 000 событий в секунду. В итоге потребление памяти снижено на 20% в сравнении с обработкой аналогичного потока событий предыдущими правилами корреляции.