Перейти к содержанию

Обновление SIEM-системы KUMA до версии 3.0.3 | Блог Касперского


Рекомендуемые сообщения

Для многих ИБ-команд SIEM-система де-факто является основным рабочим инструментом. Так что безопасность компании в значительной мере зависит от того, насколько экспертам удобно взаимодействовать с SIEM, концентрируясь непосредственно на борьбе с угрозами, а не на рутине. Поэтому практически в каждом обновлении нашей системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы уделяем особое внимание улучшению пользовательского интерфейса, автоматизации рутинных процессов и добавлению функций, позволяющих специалистам работать максимально эффективно. Значительная часть усовершенствований создается на основании обратной связи от экспертов наших заказчиков. В частности, в последней версии платформы KUMA — 3.0.3 мы добавили следующие возможности и улучшения.

Написание условий фильтров и корреляционных правил в виде кода

Раньше аналитикам приходилось задавать фильтры и писать корреляционные правила, выбирая требуемые условия мышкой. В обновлении мы расширили возможности написания правил для продвинутых пользователей, переработав интерфейс написания условий и добавив возможность написания их в виде кода. При этом режим конструктора, разумеется, остался на месте — условия фильтров и селекторов автоматически транслируются между режимами конструктора и кода.

Одно и то же условие в режимах конструктора и кода

Одно и то же условие в режимах конструктора и кода

При этом конструктор позволяет писать условия при помощи клавиатуры. Вы можете начать набирать условия фильтра, и KUMA подскажет подходящие варианты из полей событий, словарей, активных листов и так далее, после чего вы сможете выбрать подходящий вариант. Можно сразу сократить диапазон вариантов, набрав соответствующий префикс. Для удобства типы условий подсвечиваются разными цветами.

Режим кода позволяет быстро редактировать условия корреляционных правил, а кроме того, выделять и копировать условия в виде кода и легко переносить их между разными правилами или разными селекторами в рамках одного правила. Эти же блоки кода могут быть перенесены и в фильтры (отдельный ресурс системы), что значительно упрощает их создание.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Наверняка вы неоднократно получали спам или фишинговые письма с почтовых адресов, принадлежащих известным организациям. Возможно, вы при этом задумывались о том, как же злоумышленникам удается это делать. А может быть, даже задавались закономерным вопросом, не рассылает ли кто-нибудь вредоносные письма и от имени вашей компании.
      Вообще говоря, для борьбы с письмами, отправленными от чужого имени, существует несколько технологий: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication Reporting and Conformance (DMARC). К сожалению, время от времени обнаруживаются способы обхода этих методов защиты. В этом посте мы поговорим об одной из техник, которые используют спамеры для того, чтобы рассылать письма с адресов легитимных организаций, — об угоне доменов.
      Вредоносная кампания SubdoMailing и угон доменов у организаций
      Исследователи из Guardio Labs обнаружили масштабную кампанию по рассылке спама, которую они назвали SubdoMailing. В этой кампании, которая ведется как минимум с 2022 года, задействованы более 8000 доменов и 13 000 субдоменов, ранее принадлежавших легитимным компаниям, а также почти 22 000 уникальных IP-адресов. Средний объем спама, который рассылают злоумышленники, стоящие за SubdoMailing, исследователи оценивают в 5 миллионов писем в день.
      Операторы кампании SubdoMailing постоянно ищут подходящие домены компаний, срок регистрации которых истек, и заново регистрируют их на себя: в среднем таким образом они захватывают несколько десятков легитимных доменов в день. Ну а рекорд они поставили в июне 2023 года, зарегистрировав за один день целых 72 чужих домена.
      Чтобы избегать попадания захваченных доменов в спам-листы, злоумышленники применяют постоянную ротацию: домен используется для рассылки спама 1–2 дня, после чего он на долгое время становится неактивным, а в это время спамеры переходят на использование следующего. Через пару дней они оставляют в покое и его, подключают к рассылке новый — и так далее.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Европейский закон Digital Markets Act обязал крупные технологические компании сделать свои продукты более открытыми. Благодаря DMA на iOS появятся сторонние магазины приложений, а крупные мессенджеры должны предоставить возможность переписки с другими подобными приложениями — создать кросс-платформенную совместимость, «интероп» (interoperability). О том, как эта совместимость будет реализована в WhatsApp и Messenger*, недавно написали инженеры Meta*. Достоинства совместимости очевидны любому, кто отправлял и получал SMS или e-mail, — вы можете пользоваться этими сервисами, вообще не задумываясь, на каком телефоне или компьютере, в каком приложении и в какой стране пользуется SMS или e-mail ваш собеседник. Но и недостатки тоже известны и весомы — к подобным перепискам часто имеют доступ посторонние (от спецслужб до хакеров), а также они являются самыми массовыми каналами спама и фишинга. Возможно ли, что DMA сохранит достоинства совместимости, избавившись от ее недостатков?
      Отметим, что последствия DMA для App Store в iOS затрагивают только европейских пользователей, а вот кросс-платформенность, весьма вероятно, «накроет» всех, даже если подключаться к инфраструктуре WhatsApp будут только европейские партнеры.
      Можно ли переписываться в WhatsApp с пользователями других мессенджеров?
      Пока — только теоретически. Meta* опубликовала спецификации и технические требования к партнерам, которые хотят, чтобы в их приложениях можно было переписываться с абонентами WhatsApp или Messenger**. Теперь эти партнеры должны появиться, разработать мост между своим сервисом и WhatsApp и запустить его. Пока анонсов таких партнерств замечено не было.
      Владельцы и разработчики других сервисов далеко не всегда готовы внедрять подобную функцию. Одни считают ее небезопасной, другие не готовы тратить ресурсы на довольно сложную технологическую интеграцию. Meta* требует от потенциальных партнеров реализовать сквозное шифрование, сопоставимое по надежности с имеющимся в WhatsApp, а это могут воплотить далеко не все платформы.
      Но даже когда — и если — сторонние сервисы появятся, только те пользователи WhatsApp, которые сами явно захотели переписываться со сторонними сервисами, получат такую возможность. Автоматически она не включится.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Очень часто научные работы, посвященные аппаратным уязвимостям, описывают увлекательные шпионские сценарии. Именно к таким случаям относится свежая научная работа исследователей из университетов США и Китая. Они нашли способ кражи данных из камер видеонаблюдения путем анализа паразитного электромагнитного излучения и назвали эту атаку EM Eye.
      Реконструкция информации по паразитному излучению
      Представим себе такой сценарий. Есть секретное помещение, доступ в которое строго ограничен. Внутри, допустим, проходят важные переговоры, так что сам факт присутствия каких-то людей в этой комнате — важная информация. Там же установлена камера видеонаблюдения, запись ведется круглосуточно, но взломать компьютер, осуществляющий запись, невозможно. Впрочем, буквально в паре метров есть помещение, куда допускают гостей. Шпион проносит в это соседнее помещение устройство, которое для простоты будем считать слегка модифицированным радиоприемником. Этот «приемник» собирает данные, последующая обработка которых позволяет реконструировать картинку с камеры наблюдения в соседней секретной комнате. Реконструированное видео выглядит примерно так:
      Слева оригинальное цветное изображение с камеры видеонаблюдения. Справа — два варианта реконструкции изображения из паразитного радиоизлучения видеокамеры. Источник
      Как такое вообще возможно? Чтобы разобраться, давайте поговорим об атаках TEMPEST. Это кодовое название, придуманное американским Агентством по национальной безопасности для обозначения методов слежки с использованием каких-либо паразитных излучений. Равно как и средств защиты от такой слежки.
      Впервые такая аппаратная уязвимость изучалась еще во времена Второй мировой войны. Тогда в армии США использовалось автоматическое шифровальное устройство компании Bell Telephone: открытый текст на входе смешивался с заранее подготовленной случайной последовательностью символов. На выходе получалось зашифрованное сообщение. Устройство использовало электромагнитные реле, по сути большие переключатели.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Каждый день миллионы обычных частных пользователей Интернета вольно или невольно предоставляют свой компьютер, смартфон или домашний роутер посторонним. Они устанавливают на свои устройства proxyware — прокси-сервер, принимающий интернет-запросы этих посторонних и транслирующий их дальше в Интернет, к целевому серверу. Доступ к proxyware обычно предоставляют специализированные поставщики, которых мы дальше в статье будем называть ПДП (провайдеры домашних прокси). Иногда услугами таких ПДП компании пользуются вполне сознательно, но чаще появление их на рабочих компьютерах связано с нелегальной активностью.
      ПДП конкурируют между собой, хвастаясь разнообразием и количеством доступных для клиентов IP-адресов, счет которых идет на миллионы. Этот рынок фрагментирован, непрозрачен и создает для организаций и их ИБ-команд специфический набор рисков.
      Зачем применяются домашние прокси
      Времена, когда Интернет был один для всех, давно прошли: крупные онлайн-сервисы адаптируют контент к региону, из которого пришел конкретный запрос, многие сайты фильтруют контент, отсекая целые страны и континенты, функции одного сервиса для разных стран могут отличаться, и так далее. Изучить, настроить или обойти такие фильтры как раз позволяют домашние прокси. ПДП часто приводят в своей рекламе такие варианты применения сервиса: исследование рынка (отслеживание цен конкурентов и тому подобное), верификация показа рекламы, сбор открытой информации (web scraping), в том числе для тренировки ИИ, анализ поисковой выдачи, и так далее.
      Конечно, что все это выполнимо при помощи коммерческих VPN и прокси на базе дата-центров. Но многие сервисы умеют детектировать VPN по известным IP-диапазонам дата-центров или эвристически, а вот домашний прокси определить гораздо сложнее. Ведь он, в конце концов, работает на настоящем домашнем компьютере.
      О чем не пишут на сайтах ПДП, так это о сомнительных и откровенно вредоносных активностях, в которых систематически применяются домашние прокси. Среди них:
      проведение атак с перебором паролей, в том числе password spraying, как в недавнем взломе Microsoft; проникновение в организацию при помощи легитимных учетных данных — домашний прокси из нужного региона предотвращает срабатывание эвристических правил подозрительного входа; заметание следов кибератаки — сложнее отследить и атрибутировать источник вредоносной активности; мошеннические схемы с кредитными и подарочными картами. Применение домашних прокси позволяет обойти систему борьбы с мошенническими оплатами (antifraud); проведение DDoS-атак. Например, большая серия DDoS-атак в Венгрии была отслежена до ПДП White Proxies; автоматизация спекуляций, таких как массовая скоростная скупка дефицитных билетов на мероприятия или коллекционных товаров (sneaker bots); мошенничество в маркетинге — накрутки рекламы, реакций в соцсетях, и так далее; рассылка спама, массовая регистрация аккаунтов; сервисы по обходу CAPTCHA.  
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      За последние полтора года мы окончательно разучились верить своим глазам. Подделка изображений в фоторедакторах встречалась и ранее, но появление генеративного ИИ вывело подделки на новый уровень. Пожалуй, первым знаменитым ИИ-фейком можно назвать ставшее виральным год назад фото папы римского в белом пуховике, но с тех пор счет таким качественным подделкам пошел на тысячи. Более того, развитие ИИ обещает нам вал убедительных поддельных видео в самом ближайшем будущем.
      Один из первых дипфейков, получивших всемирную популярность: папа римский в белом пуховике
      Это еще больше усложнит проблему отслеживания «фейковых новостей» и их иллюстративного материала, когда фото одного события выдаются за изображение другого, людей, которые никогда не встречались, соединяют в фоторедакторе и так далее.
      Подделка изображений и видео имеет прямое отношение к кибербезопасности. Уже давно в разного рода мошеннических схемах жертв убеждают расстаться с деньгами, присылая им фото людей или животных, для которых якобы ведутся благотворительные сборы, обработанные изображения звезд, призывающих инвестировать в очередную пирамиду, и даже изображения банковских карт, якобы принадлежащих близким знакомым жертвы мошенничества. На сайтах знакомств и в других соцсетях жулики тоже активно используют сгенерированные изображения для своего профиля.
      В наиболее сложных схемах дипфейк-видео и аудио, якобы изображающие начальство или родственников жертвы, применяются, чтобы убедить ее совершить нужное аферистам действие. Совсем недавно работника финансовой организации убедили перевести $25 млн мошенникам — жулики организовали видеозвонок, на котором присутствовали «финдиректор» и другие «коллеги» жертвы, — все дипфейковые.
      Как бороться с дипфейками и просто фейками? Как их распознавать? Это крайне сложная проблема, но ее остроту можно поэтапно снизить, особенно если научиться отслеживать происхождение изображения.
       
      Посмотреть статью полностью
×
×
  • Создать...