В систему выявления инцидентов MaxPatrol SIEM добавлен пакет экспертизы для выявления атак на операционную систему Oracle Solaris. Правила обнаружения угроз в составе пакета позволят пользователям вовремя выявить присутствие злоумышленника и предупредить нарушение работы системы.
Oracle Solaris — это Unix-подобная операционная система, которую крупные компании часто используют для развертывания автоматизированных систем управления процессами, базами данных, например Oracle Database, и веб-серверами, — комментирует Евгений Полонский, специалист отдела безопасности систем семейства Unix Positive Technologies. — Заполучив доступ к системе с Oracle Solaris, злоумышленники смогут управлять ею, даже отключить или повредить, а также скомпрометировать данные».
Чтобы помочь компаниям обеспечить безопасность систем, развернутых на Oracle Solaris, эксперты Positive Technologies разработали способы обнаружения популярных угроз. Они объединены в единый пакет экспертизы. Правила в его составе обнаруживают применение нескольких техник из матрицы MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, пользователи MaxPatrol SIEM теперь могут выявить:
- запуск средств удаленного подключения reverse shell и bind shell, которые используются злоумышленниками для управления целевой системой;
- активность утилит и автоматических скриптов, запущенных от имени учетных записей веб-сервера, которые атакующие могут применять для получения информации о скомпрометированной системе и ее сетевом окружении на этапе разведки;
- запуск службы или клиента для установки скрытого канала связи или сетевого сканирования;
- активность утилит, которые злоумышленники используют для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 (R24) и установить правила из пакета экспертизы. Для корректной работы всех правил корреляции нужно настроить аудит и заполнить табличные списки в соответствии с инструкцией в руководстве по установке и использованию пакета экспертизы.