Люди могут вести себя по-разному в одинаковых ситуациях, и этим они принципиально отличаются от машин.

Щемелинин К.

 

Связь с редакцией
Рассылка новостей

Новые правила MaxPatrol SIEM оповещают о критически опасных инцидентах, в которых замечено вредоносное ПО

31.10.2022 22:34

В систему мониторинга событий информационной безопасности MaxPatrol SIEM загружен новый пакет экспертизы. Добавленные в систему правила позволяют выявить 13 активностей злоумышленников, связанных с применением вредоносного ПО (ВПО). Источниками событий для MaxPatrol SIEM могут быть распространенные средства защиты, например песочница PT Sandbox, «Защитник Windows», продукты «Лаборатории Касперского» и Dr.Web.

С помощью новых правил, основанных на вердиктах PT Sandbox и срабатываниях антивирусного ПО, SIEM-система коррелирует потенциально опасные инциденты, а также дополнительно акцентирует на них внимание пользователей. Добавленные возможности помогают специалистам по ИБ ориентироваться в огромном потоке событий и следить за статусом обнаруженных угроз в режиме «одного окна» — интерфейсе MaxPatrol SIEM.

«Шифровальщики, загрузчики, банковские трояны и другие вредоносные программы — бич современных компаний. По данным Positive Technologies, во II квартале с помощью вредоносов злоумышленники атаковали каждую вторую организацию. Антивирусы и песочницы, такие как, например, PT Sandbox, эффективно обнаруживают вредоносное ПО. Чтобы специалисты по ИБ быстрее выявляли сложные атаки, в интерфейсе MaxPatrol SIEM теперь выводятся критически опасные инциденты с ВПО, сгенерированные новыми правилами корреляции. Это помогает оператору понять, какие кейсы следует тщательно расследовать», — комментирует Константин Грищенко, руководитель отдела мониторинга информационной безопасности Positive Technologies.

Кроме того, расширена интеграция с PT Sandbox. Анализируя вердикты песочницы Positive Technologies, MaxPatrol SIEM теперь определяет:

  • вредоносные файлы — решение выносится по результатам всех проверок PT Sandbox;
  • запуск зловредных файлов;
  • подозрительную почтовую активность (обнаружение спам-рассылок по отправителю, заголовкам и вложениям).
  • Добавленные в пакет экспертизы правила выявляют, например, следующие активности:

  • ВПО обнаружено и удалено (либо не удалено) в течение пяти минут;
  • «Защитник Windows» отключен;
  • запуск вредоносного приложения запрещен Kaspersky Endpoint Security;
  • работа Kaspersky Endpoint Security остановлена или отключены его компоненты защиты;
  • состав установочных пакетов Kaspersky Security Center изменен.
  • Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить правила из пакета экспертизы.

    www.ptsecurity.com

    Продукты

    Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
    Телефон: (926) 212-60-97.
    E-mail: info@avtprom.ru или avtprom@ipu.ru

    © ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.

    РассылкиSubscribe.Ru
    Автоматизация в
    промышленности