روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به طور آشکار، هر قدر زودتر اقدامات مخرب به چشم راهکارهای امنیتی و متخصصین بیاید، آن‌ها به طور مؤثرتری می‌توانند جلوی آسیب را گرفته و یا آن را کاهش دهند. از این رو، ضمن کار روی قوانین جدید شناسایی برای SIEM ما به نام  Kaspersky Unified Monitoring and Analysis Platform توجه ویژه‌ای هم روی شناسایی فعالیت مهاجمین در مراحل اولیه حمله داریم؛ زمانیکه سعی دارند در مورد زیرساخت اطلاعاتی جمع کنند. داریم در مورد فعالیت مرتبط با تاکتیک‌های کشف طبق طبقه‌بندی  Matrix MITRE ATT&CK Knowledge Base صحبت می‌کنیم. مهاجمین مدرن دارند به طور فزاینده به زیرساخت کانتینرها توجه نشان می‌دهند؛ جایی که در آن گاهی آسیب‌پذیری‌های خطرناک را می‌شود یافت. برای مثال گزارش ماه می ما از اکسپلویت‌ها و آسیب‌پذیری‌ها، آسیب‌پذیری  CVE-2024-21626 را نشان می‌دهد که اجازه فرار از کانتینر را می‌دهد. برای همین است که در آپدیت SIEM خود برای سه ماهه‌ی سوم 2024 از میان قوانین شناسایی رفتار ناهنجاری که فعالیت احتمالی مهاجم را در مرحله اولیه جمع‌آوری داده نشان می‌دهد، قوانین شناسایی را 1) تلاش برای جمع‌آوری داده روی زیرساخت کانتینر را ردیابی کرده، 2) رد تلاش‌های مختلف برای فریب خود سیستم کانتینرسازی می‌زنند نیز افزوده‌ایم.

این کار با افزودن قوانین شناسایی R231, R433 و R434 که از پیش در سیستم آپدیت قانون برای کاربران Kaspersky Unified Monitoring and Analysis Platform موجود بوده است انجام شده. مشخصاً اینها برای شناسایی و مرتبط کردن (معنادارِ) رخدادهای زیر استفاده می‌شوند:

•         دسترسی به اعتبارنامه‌های داخل کانتینتر؛
•         راه اندازی یک کانتینر در یک سیستم غیر کانتینری؛
•         راه اندازی یک کانتینر با امتیازات بیش از حد؛
•         راه اندازی یک کانتینر با دسترسی به منابع میزبان؛
•         جمع آوری اطلاعات در مورد کانتینرها با استفاده از ابزار استاندارد؛
•         جستجوی نقاط ضعیف در کانتینرها با استفاده از ابزارهای استاندارد؛
•         جستجوی آسیب پذیری‌های امنیتی در کانتینرها با استفاده از ابزارهای ویژه.

نظر به آپدیت فوق‌الشرح، اکنون بیش از 659 قانون شامل 525 قانون با منطق مستقیم شناسایی روی این پلت‌فرم وجود دارد. ما همچنان به تطابق‌سازی قوانین شناسایی خود با پایگاه دانش Enterprise Matrix MITRE ATT&CK که امروز 201 تکنیک، 424 تکنیک زیرمجموعه و هزاران رویه را شرح می‌دهد ادامه می‌دهیم. تا به امروز راهکار ما 344 تکنیک MITRE ATT&CK و تکنیک‌های زیرمجموعه را پوشش داده است. افزون بر این، بسیاری از قوانین قدیمی را با اصلاح یا تنظیم شرایط –برای مثال برای کاهش تعداد مثبت کاذب‌ها- ارتقا داده‌ایم.

نرمال‌کننده‌های جدید و ارتقایافته

در آخرین به روزرسانی، ما همچنین به نرمال‌سازهای سیستم SIEM خود اضافه کرده ایم که به شما امکان می دهد با منابع رویداد زیر کار کنید:

[OOTB] OpenLDAP

[OOTB] Avaya Aura Communication Manager syslog

[OOTB] Orion soft Termit syslog

[OOTB] Postfix

[OOTB] Barracuda Web Security Gateway syslog

[OOTB] Parsec ParsecNET

[OOTB] NetApp SnapCenter file

[OOTB] CommuniGate Pro

[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog

[OOTB] Yandex Cloud

[OOTB] Barracuda Cloud Email Security Gateway syslog

متخصصین ما همچنین برای این منابع نیز نرمال‌ساز ارتقایافته دارند:

OOTB] Yandex Browser

[OOTB] Citrix NetScaler syslog

[OOTB] KSC from SQL

[OOTB] Microsoft Products for KUMA 3

[OOTB] Gardatech Perimeter syslog

[OOTB] KSC PostgreSQL

[OOTB] Linux auditd syslog for KUMA 3.2

[OOTB] Microsoft Products via KES WIN

[OOTB] PostgreSQL pgAudit syslog

[OOTB] ViPNet TIAS syslog

می‌توانید فهرست کامل منابع رویداد پشتیبانی‌شده را در پلت‌فرم نظارت و تحلیل یکپارچه Kaspersky نسخه 3.2 در بخش پشتیبانی فنی وب‌سایت ما بیابید، جایی که می‌توانید اطلاعات بیشتری درباره قوانین همبستگی دریافت کنید. در پست‌های بعدی که می‌توانید از طریق برچسب SIEM پیدا کنید، به نوشتن در مورد بهبودهای سیستم SIEM خود ادامه خواهیم داد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.