Уважаемые пользователи!

Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), уделяется особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.

Все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения были добавлены правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.

Сделано это с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:

• доступ к учетным данным внутри контейнера;
• запуск контейнера на неконтейнерной системе;
• запуск контейнера с избыточными правами;
• запуск контейнера с доступом к ресурсам хоста;
• сбор информации о контейнерах с помощью стандартных инструментов;
• поиск слабых мест в контейнерах с помощью стандартных инструментов;
• поиск уязвимостей безопасности в контейнерах с помощью специальных утилит.

Кроме того, доработаны множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).

Новые и доработанные нормализаторы

В свежем обновлении добавлены нормализаторы, позволяющие работать со следующими источниками событий:

• [OOTB] OpenLDAP
• [OOTB] Avaya Aura Communication Manager syslog
• [OOTB] Orion soft Termit syslog
• [OOTB] Postfix
• [OOTB] Barracuda Web Security Gateway syslog
• [OOTB] Parsec ParsecNET
• [OOTB] NetApp SnapCenter file
• [OOTB] CommuniGate Pro
• [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
• [OOTB] Yandex Cloud
• [OOTB] Barracuda Cloud Email Security Gateway syslog

А еще, были доработаны нормализаторы для вот этих источников:

• [OOTB] Yandex Browser
• [OOTB] Citrix NetScaler syslog
• [OOTB] KSC from SQL
• [OOTB] Microsoft Products for KUMA 3
• [OOTB] Gardatech Perimeter syslog
• [OOTB] KSC PostgreSQL
• [OOTB] Linux auditd syslog for KUMA 3.2
• [OOTB] Microsoft Products via KES WIN
• [OOTB] PostgreSQL pgAudit syslog
• [OOTB] ViPNet TIAS syslog

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции.

___________________________________________________________________________________________________________________

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО». 

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!