MaxPatrol SIEM выявляет сетевые аномалии при удаленной работе.
19.04.2020
В MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительной активности в сети, что особенно актуально в связи с удаленной работой пользователей.
Пакет покрывает девять аномалий, требующих оперативного расследования. Из-за перехода компаний на удаленный режим работы у злоумышленников появляются новые возможности для проникновения в локальную сеть. Чтобы вовремя выявить нелегитимные подключения из-за периметра компании, эксперты Positive Technologies выпустили пакет экспертизы с набором правил для оперативного обнаружения признаков активности злоумышленников. Примеры аномалий, которые теперь выявляет MaxPatrol SIEM:
сетевые подключения через туннели,
попытки подключений к критически важным сегментам сети,
дублирующиеся удаленные сессии,
многократные неудачные попытки подключения к узлу с ПО OpenVPN,
многократные неудачные попытки подключения к межсетевому экрану Cisco ASA,
включение на локальном межсетевом экране правила доступа,
разрешающего устанавливать подключение по RDP,
подключение по протоколу RDP от сетевого узла с ОС семейства Unix,
добавление учетной записи пользователя в значимые для ИБ группы ОС Windows,