Перейти к содержанию

KUMA SIEM: нормализаторы и правила корреляции | Блог Касперского


Рекомендуемые сообщения

Как мы уже писали в данном блоге, работа SIEM-системы теряет смысл без постоянной эволюции детектирующей логики. Ландшафт угроз непрерывно изменяется, а это значит, что для эффективного анализа данных приходится регулярно добавлять новые правила. Разумеется, львиная доля правил корреляции неизбежно дорабатывается на стороне внутренней ИБ-команды, однако для облегчения этого процесса важно иметь актуальные правила, поставляемые из коробки. Еще один важный момент: SIEM-система должна уметь адаптироваться к эволюции информационной инфраструктуры компании; быть готовой к работе с новыми источниками событий, каждому из которых зачастую требуется новый нормализатор (механизм приведения данных от произвольных источников к единому формату). Мы постоянно ведем работу по этим направлениям и добавляем в Kaspersky Unified Monitoring and Analysis Platform (KUMA) новые нормализаторы и правила корреляции. В этом посте рассказываем о том, что было добавлено в версии 3.0.3.

Новые и доработанные нормализаторы

С момента релиза KUMA 2.1 до релиза KUMA 3.0.3 мы выпустили 99 пакетов обновлений с новыми или улучшенными нормализаторами. Среди них 63 обновлений, обеспечивающих поддержку новых источников событий, и 38 — улучшающих текущие нормализаторы. В них была добавлена поддержка дополнительных типов событий, а также реализованы различные доработки и исправления.

 

Посмотреть статью полностью.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
      Как происходит фишинговая атака на бизнес-аккаунты Facebook*
      Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
      Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В конце мая публичная библиотека образов Docker Hub внезапно стала недоступна с территории России. В Сети незамедлительно появилось множество рецептов по решению этой проблемы, суть которых в основном сводилась к созданным в спешке зеркалам и прокси-серверам для доступа к заблокированному ресурсу. Проблемы доступности образов эти способы действительно решают, но при этом увеличивают ИБ-риски и в первую очередь — вероятность атаки через цепочку поставок.
      Доступ к Docker Hub через несколько дней вернули, но гарантий, что он останется с нами навсегда, никто дать не может. Особенно в условиях современной геополитической напряженности. Разумеется, проблема не ограничивается одним Docker Hub — есть множество как опенсорсных, так и проприетарных ресурсов, которые активно используются в разработке ПО и при этом находятся за рубежом, а значит, в любой момент могут быть заблокированы (не с той стороны, так с этой). Поэтому случай с недоступностью Docker Hub следует расценивать как своего рода тревожный звонок: это повод заранее продумать, как именно вы планируете продолжить работу в случае чего, к каким рискам приведет выбранный вами способ, а главное — какие инструменты следует использовать, чтобы минимизировать эти риски.
      В чем риски использования обходных путей
      В последние годы злоумышленники все чаще пытаются организовывать атаки на цепочку поставок (supply chain attack) при помощи добавления вредоносной функциональности в публично доступные проекты. Как показывает недавняя история с XZ Utils, они ищут любую возможность для того, чтобы отравить репозитории. Внезапное отключение какого-либо репозитория здорово играет им на руку: девелоперы начинают в спешке искать способ восстановления непрерывности рабочего процесса и могут забыть о сопутствующих рисках.
      Главной проблемой любого «обходного» решения, будь то прокси или зеркало, является то, что вы не представляете, что за люди его сделали и каковы были их реальные намерения. Может, это группа разработчиков, которые действительно хотят помочь, а может быть, банда злоумышленников, увидевшая удобную возможность отравить популярный образ или пакет.
      Отдельный вопрос заключается в защищенности самих этих обходных решений. Даже если их создатели и не имели враждебных намерений, велика вероятность того, что они собирали свой проект в спешке и недостаточно тщательно продумали безопасность своего сервиса. А тем временем они тоже могут стать целью злоумышленников. Поэтому перед использованием полученных образов их необходимо сканировать на предмет закладок.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Двухфакторная аутентификация с помощью одноразовых кодов (OTP — one-time password) сегодня воспринимается многими как «лекарство от всех болезней» — и от фишинга спасет, и от методов социальной инженерии защитит, и все аккаунты в безопасности сохранит. Одноразовый код запрашивается сервисом в момент логина пользователя как дополнительный метод проверки, что в учетную запись входит действительно ее владелец. Он может генерироваться в специальном приложении непосредственно на устройстве пользователя, но увы — немногие заморачиваются установкой и настройкой приложений-аутентификаторов. Поэтому чаще всего сервисы отправляют проверочный код в виде SMS, письма на электропочту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка.
      Этот код действует ограниченное время, и его использование значительно повышает уровень защиты, но… На OTP надейся, а сам не плошай: даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.
      Какую роль эти боты играют в фишинге и как они работают — в этом материале.
      Как работают OTP-боты
      Эти боты управляются либо через контрольную панель в веб-браузере, либо через Telegram и выманивают у жертвы одноразовый пароль, имитируя, например, звонок из банка с запросом присланного кода. Работает схема следующим образом.
      Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод OTP-кода. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код. Жертва набирает код на клавиатуре телефона прямо во время звонка. Код поступает в Telegram-бот злоумышленника. Злоумышленник получает доступ к аккаунту жертвы. Ключевая функция OTP-бота — звонок жертве, и от убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Поэтому OTP-боты предлагают множество функций, позволяющих тонко настраивать параметры звонка.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Во время расследования инцидента эксперты «Лаборатории Касперского» обнаружили новый шифровальщик-вымогатель, получивший название ShrinkLocker. Интересная особенность этого зловреда состоит в том, что для блокировки зараженных компьютеров его создатели искусно пользуются встроенными возможностями Windows. В частности, применяют для блокировки компьютера штатную утилиту для полнодискового шифрования — BitLocker.
      Чем опасен шифровальщик-вымогатель ShrinkLocker?
      Как и большая часть современных инструментов вымогателей, ShrinkLocker блокирует доступ к содержимому жесткого диска атакованного компьютера, шифруя его. По сути, делает это он при помощи активации штатной защитной функции Bitlocker.
      ShrinkLocker уменьшает разделы диска компьютера на 100 Мб (из этого, собственно, и происходит его название) и делает из свободного места собственный загрузочный раздел. При этом все резервные инструменты восстановления ключа Bitlocker удаляются, а использованный ключ отправляется на сервер злоумышленников.
      После перезагрузки пользователь видит стандартный экран ввода пароля Bitlocker. Поскольку запустить систему становится невозможным, вместо записки с требованием выкупа ShrinkLocker меняет метки всех дисков системы на контактный e-mail злоумышленников.
       
      Посмотреть статью полностью
×
×
  • Создать...