Журнал "Information Security/ Информационная безопасность" #5, 2024

Вручную собирать и ана- лизировать события, находя закономерности и подозри- тельные паттерны, практи- чески невозможно, так как это требует большого коли- чества ресурсов. Помочь SOC могут продукты класса EDR – Endpoint Detection and Response. Помимо постоянно совершенствующихся меха- низмов обнаружения угроз и обновляемых правил кор- реляции в MaxPatrol EDR существует поддержка собственных экспертных правил, а также гибкая кастомизация на уровне модулей и политик монито- ринга и реагирования. Агенты MaxPatrol EDR содержат и используют функциональные модули, которые работают непосред- ственно на конечных устрой- ствах. и совершать другие незаконные действия. Чтобы избежать обна- ружения средствами защиты, злоумышленники стремятся использовать скриптовые языки и скрытное ВПО, включая про- граммы, работающие через обо- лочку PowerShell, а также экс- плуатируют уязвимости опера- ционных систем. Для выявления потенциально опасных действий нужно опи- раться на множество событий, регистрируемых в журналах опе- рационной системы, на инвен- таризационные данные и кон- текст. В результате аналитики сталкиваются с огромным пото- ком информации, который нужно структурировать и обра- батывать в режиме реального времени. Задача команд SOC: выявлять среди всех оповеще- ний цепочки действий, которые могут представлять собой при- знаки активности хакеров. Вручную собирать и анали- зировать события, находя зако- номерности и подозрительные паттерны, практически невоз- можно, так как это требует боль- шого количества ресурсов. Помочь SOC могут продукты класса EDR – Endpoint Detection and Response. В MaxPatrol EDR используют- ся технологии корреляции и поведенческого анализа, осно- ванные на многолетнем опыте экспертов и реальных случаях отражения атак в сочетании с правилами YARA, проверками зловредных файлов и процес- сов по IoC и другими техноло- гиями обнаружения ВПО. Авто- номность на конечном устрой- стве и возможность разверты- вать агенты позволяют опера- тивно начать собирать данные и производить реагирование даже за пределами корпора- тивной сети. Для сканирования и сбора данных не требуются привилегированные сервисные учетные записи, что упрощает диалог с ИТ-службой и сокра- щает время на подключение новых конечных устройств. Рассмотрим более детально некоторые технологии и осо- бенности EDR-систем, которые делают жизнь команд SOC легче. Как EDR помогает аналитикам SOC быстрее реагировать на угрозы Поддержка собственных правил корреляции и списков исключений Аналитики SOC вынуждены ежедневно разбирать тысячи специфичных для их компании инцидентов. Чтобы упростить работу, EDR-решение можно настроить под нужды конкрет- ной организации. В процессе создания эффек- тивной системы безопасности важно учитывать инфраструк- туру клиента. Опираясь на мно- голетний опыт построения SOC на базе MaxPatrol SIEM по всей стране, крупные холдинги и государственные организации с распределенными сетями и с высокими требованиями к отка- зоустойчивости будут ждать соответствующих возможностей и для EDR-решения. Мы учиты- ваем этот факт и в ближайшей новой версии MaxPatrol EDR предложим варианты развер- тывания управляющего сервера в отказоустойчивом кластере. Это позволит преодолевать сложности в будущих проектах для крупных клиентов и парт- неров. Помимо постоянно совершен- ствующихся механизмов обнару- жения угроз и обновляемых пра- вил корреляции в MaxPatrol EDR существует поддержка собст- венных экспертных правил, а также гибкая кастомизация на уровне модулей и политик мониторинга и реагирования. Это позволяет быстрее внедрить продукт и избежать большого количества ложноположитель- ных срабатываний, чтобы ана- литики могли сосредоточиться на борьбе с актуальными угро- зами. Кроме того, в последних версиях мы уделяли особое вни- мание интерфейсу, чтобы опе- ратор мог как можно быстрее решать рутинные задачи. Модульная архитектура Безопасность устройств обес- печивают агенты – так назы- вают ПО, которое устанавли- вают на компьютеры сотрудни- ков. Агенты MaxPatrol EDR содержат и используют функ- циональные модули, которые работают непосредственно на конечных устройствах. Это поз- воляет проводить статический или поведенческий анализ и реагировать на угрозы даже без доступа к управляющему серверу, внутренней сети или Интернету. Кроме того, такая архитекту- ра позволяет гибко использо- вать только часть модулей, чтобы кастомизировать нагруз- ку для различных типов узлов в инфраструктуре и исключить лишние ложноположительные срабатывания, влекущие за собой повышенное потребление ресурсов. Например, не вычис- • 15 SOC и EDR www.itsec.ru Рис. 1. Динамика частоты использования злоумышленниками различных методов атак