Blog

MaxPatrol SIEM ning yangi kriminalistika to’plami aniqlikni oshiradi. MaxPatrol SIEM hodisalarni aniqlash tizimiga yangi kriminalistika to’plami qo’shildi, bu esa qo’pollik bilan kirish va parollarni buzish orqali akkauntlarni buzish urinishlarini samaraliroq aniqlash imkonini beradi.

MaxPatrol SIEM hodisalarni aniqlash tizimiga qo’pollik bilan kirish urinishlarini aniqlash uchun yangi kriminalistika to’plami [1] qo’shildi., bu esa qo’pol ravishda login va parollarni majburlash orqali akkauntlarni buzib kirishga urinishlarni samaraliroq aniqlash imkonini beradi. Paketga kiritilgan korrelyatsiya qoidalari qo’pol ravishda kuch ishlatish hodisalarini aniqlashning aniqligini oshirdi va tizim xotirasi sarfini 20% ga kamaytirdi.

Positive Technologies mutaxassislari qo’pol kuch hujumini aniqlash konsepsiyasini qayta ta’rifladilar. Natijada, ular MaxPatrol SIEM foydalanuvchilariga minimal miqdordagi ma’lumotlardan foydalangan holda xakerlik urinishlarini aniqlashga yordam beradigan qoidalarni ishlab chiqdilar: autentifikatsiya urinishlari, qo’pol kuch maqsadlari va subyektlari hamda infratuzilmaning o’ziga xos xususiyatlari.

Agar ma’lum bir obyektga yoki ma’lum bir joydan hujum davom etayotgan bo’lsa, MaxPatrol SIEM kuniga bitta hodisa yaratadi (chastotani sozlash mumkin) va hodisaning o’zi hujumchilar bilan bog’liq barcha ma’lumotlarni qo’pol ravishda majburlashga urinishlar statistikasini saqlaydi. Bu bildirishnomalar sonini kamaytiradi va hodisalarni tahlil qilishni sezilarli darajada soddalashtiradi va tezlashtiradi.

Yangi kriminalistika to’plami endi sizga qonuniy maqsadlarda qo’pol kuch ishlatish texnikasidan foydalanadigan tarmoq tugunlari va foydalanuvchilarining oq ro’yxatlarini yaratish va ular bilan bog’liq hodisalar uchun qoida triggerlarini avtomatik ravishda o’chirib qo’yish imkonini beradi. Masalan, bularga zaifliklarni skanerlash tugunlari, umumiy hisoblar va DMZdagi tarmoq tugunlari kirishi mumkin.

Yangi qoidalar MaxPatrol SIEM komponentlari o’rtasida yukni teng taqsimlash uchun optimallashtirildi va sekundiga 30 000 ta hodisa oqimida sinovdan o’tkazildi. Natijada, avvalgi korrelyatsiya qoidalaridan foydalangan holda shunga o’xshash hodisa oqimini qayta ishlashga nisbatan xotira sarfi 20% ga kamaydi.

[1] MaxPatrol SIEM ekspertiza paketlari axborot xavfsizligi intsidentlarini aniqlash bo’yicha bilimlarni muntazam ravishda avtomatlashtirilgan tarzda uzatish orqali hatto murakkab, atipik hujumlarni ham aniqlashga qodir algoritmlar ko’rinishida yetkazib beriladi. Tegishli qoidalar to’plamlari va tavsiyalar Positive Technologies mutaxassislari (R&D va PT Expert Security Center) tomonidan ishlab chiqiladi, ular doimiy ravishda mavjud tahdidlarni tahlil qiladi, to’liq hujum siklini o’rganadi va aniqlash usullarini ishlab chiqadi. Ushbu qoidalar to’plamlari va tavsiyalar paketlarga birlashtiriladi va MaxPatrol SIEM tarkibiga kiruvchi Positive Technologies Knowledge Base (PT KB) ga o’tkaziladi. Keyin tizim foydalanuvchisi PT KB interfeysida kerakli paketlarni tanlashi va ularni mahsulotni o’rnatishning bir qismi sifatida qo’llashi mumkin.