Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

MaxPatrol SIEM выявляет еще семь сетевых аномалий

Это поможет пользователям MaxPatrol SIEM оперативно локализовать атаки до того, как произойдет утечка данных, вывод из строя оборудования или запуск вредоносного ПО.  

В систему выявления инцидентов MaxPatrol SIEM загружен двадцатый пакет экспертизы. Он позволяет выявить семь подозрительных активностей по анализу событий от сетевых устройств. Это поможет пользователям MaxPatrol SIEM оперативно локализовать атаки до того, как произойдет утечка данных, вывод из строя оборудования или запуск вредоносного ПО.

Источниками событий могут быть маршрутизаторы и коммутаторы Cisco, межсетевые экраны Check Point с операционной системой GAiA, Cisco ASA, FortiGate, Palo Alto Networks PAN-OS, Juniper Junos OS.

Теперь MaxPatrol SIEM выявляет следующие потенциально опасные сетевые активности:

Попытки эксплуатации уязвимости CVE-2018-0156 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, изменить его настройки и вызвать временный отказ в обслуживании.

Подключение к сторонним почтовым сервисам. Такие действия могут быть запрещены политиками безопасности организации.

Ошибки аутентификации протоколов семейства FHRP (протоколы резервирования основного шлюза). Ошибка возникает в случае мисконфигурации на сетевом оборудовании или атаки на FHRP-протокол. Успешная реализация атаки позволит злоумышленнику получить доступ к сетевому трафику организации.

Запрос информации по протоколу SNMP. Это событие свидетельствует о попытках атакующего подобрать пароль для доступа к оборудованию или получить информацию о сети предприятия.

Фрагментированный UDP-трафик. Фрагментация часто используется при попытках обойти системы обнаружения атак, поэтому фрагментированные пакеты подлежат фильтрации.

Подключение к внешним VPN-серверам. Организация туннелей из корпоративной сети может свидетельствовать о нарушении периметра и попытках злоумышленника передать вовне информацию с атакованного узла.

Использование сторонних DNS-серверов. С помощью DNS злоумышленники могут перенаправить трафик на свои ресурсы. Также DNS может быть использован как канал управления вредоносным ПО.

Комментарии