В системе мониторинга событий информационной безопасности MaxPatrol SIEM доступны 44 новых правила корреляции, которые профилируют действия пользователей в инфраструктуре и выявляют нетипичные для нее подключения к корпоративным узлам и сервисам. Продукт отслеживает доступ к компьютерам топ-менеджмента и разработчиков, контроллерам доменов, серверам GitLab, менеджерам паролей и другим приложениям.
«Наш опыт проведения киберучений показал, что профилирование доступа к критически важным узлам — это единственный способ обнаружить авторизацию в корпоративных сервисах с ранее неизвестных IP-адресов и устройств и предотвратить атаку на ранней стадии в случае, если произошла утечка и в сети появился дамп учетных данных. Такие отклонения, как правило, указывают, что учетную запись сотрудника захватили киберпреступники, удаленно подключились к инфраструктуре и перемещаются внутри нее, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах,
Источник: SecurityLab