作为专业知识包更新的一部分,MaxPatrol SIEM信息安全事件监控系统新增了100多条威胁检测规则,其中70多条主要用于检测对Unix基础设施的攻击。新增的规则提高了对暴力破解尝试以及Unix操作系统攻击的检测准确性。 为了帮助政府机构、关键信息基础设施实体和拥有Unix基础设施的公司确保其安全性,Positive Technologies专家为MaxPatrol SIEM增加了检测当前威胁的新方法。加载到产品中的规则允许更准确地检测攻击者用于获取凭证访问、初始访问和横向移动、规避、发现和收集、持久性和权限升级、执行以及命令和控制的MITRE ATT&CK技术。 此外,MaxPatrol SIEM还更新了新规则,用于检测通过登录和密码挖掘入侵账户的企图。特别是,该产品现在可单独识别传播尝试(将单个密码与多个账户匹配的尝试;攻击者这样做是为了避免账户锁定)。同时,每条暴力破解规则都与特定的应用程序、操作系统或网络设备相关联。例如,Cisco防火墙、IIS网络服务器、OpenVPN应用程序和GitLab。 Unix是包括Linux在内的几十种操作系统的基础。大多数网络服务器、云服务和流行的虚拟化工具都运行在Unix系统上。 MaxPatrol SIEM与PT Network Attack Discovery行为流量分析系统的集成得到了扩展--现在用户可以看到SIEM系统与PT NAD关键规则的更多相关触发(超过3500个)。这减少了误报的数量,提高了可疑网络活动检测的准确性。此外,通过更新的专业知识包,使用这两款产品的公司可以将子网络列入白名单,并自动禁用针对不同动态IP地址组的规则。例如,当内部开发正在进行时,白名单可应用于研发网络或漏洞扫描网络。 |
原文地址:https://blog.csdn.net/ptsecurity/article/details/131648909
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:https://www.msipo.com/article-379.html 如若内容造成侵权/违法违规/事实不符,请联系MSIPO邮箱:3448751423@qq.com进行投诉反馈,一经查实,立即删除!
Copyright © 2024, msipo.com