Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для нашей SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), мы уделяем особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.
В последнее время все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в нашем майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения, которое может свидетельствовать об активности злоумышленников на этапе первичного сбора данных, мы добавили правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.
Сделано это было с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:
- доступ к учетным данным внутри контейнера;
- запуск контейнера на неконтейнерной системе;
- запуск контейнера с избыточными правами;
- запуск контейнера с доступом к ресурсам хоста;
- сбор информации о контейнерах с помощью стандартных инструментов;
- поиск слабых мест в контейнерах с помощью стандартных инструментов;
- поиск уязвимостей безопасности в контейнерах с помощью специальных утилит.
С учетом вышеописанного обновления сейчас на платформе доступно более 659 правил, из них 525 правил с непосредственно детектирующей логикой.
Мы продолжаем ориентироваться на Enterprise Matrix MITRE ATT&CK Knowledge Base, которая сегодня включает в себя 201 технику, 424 подтехники и тысячи процедур. На данный момент наше решение покрывает 344 техники и подтехники MITRE ATT&CK.
Кроме того, мы доработали множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).
Новые и доработанные нормализаторы
В свежем обновлении мы также добавили в нашу SIEM-систему нормализаторы, позволяющие работать со следующими источниками событий:
- [OOTB] OpenLDAP
- [OOTB] Avaya Aura Communication Manager syslog
- [OOTB] Orion soft Termit syslog
- [OOTB] Postfix
- [OOTB] Barracuda Web Security Gateway syslog
- [OOTB] Parsec ParsecNET
- [OOTB] NetApp SnapCenter file
- [OOTB] CommuniGate Pro
- [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
- [OOTB] Yandex Cloud
- [OOTB] Barracuda Cloud Email Security Gateway syslog
А еще наши эксперты доработали нормализаторы для вот этих источников:
- [OOTB] Yandex Browser
- [OOTB] Citrix NetScaler syslog
- [OOTB] KSC from SQL
- [OOTB] Microsoft Products for KUMA 3
- [OOTB] Gardatech Perimeter syslog
- [OOTB] KSC PostgreSQL
- [OOTB] Linux auditd syslog for KUMA 3.2
- [OOTB] Microsoft Products via KES WIN
- [OOTB] PostgreSQL pgAudit syslog
- [OOTB] ViPNet TIAS syslog
С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. О других доработках нашей SIEM системы вы сможете прочитать в будущих постах.