Открыть список
Как стать автором
Обновить
125.23
Рейтинг
TS Solution
Системный интегратор

Обзор новой версии PT NAD

TS SolutionИнформационная безопасностьСетевые технологии


Компания Positive Technologies выпустила новую версию PT Network Attack Discovery 10.1. Рассмотрим новшества системы глубокого анализа трафика подробнее и узнаем, чем они могут помочь в работе.


Обзор PT NAD 10.1


Компания Positive Technologies выпустила новую версию системы глубокого анализа трафика PT Network Attack Discovery 10.1. В предыдущей статье мы уже начали рассматривать ее преимущества, сегодня же расскажем про PT NAD 10.1 подробнее и узнаем, чем они могут помочь в работе.
Данная статья будет полезна аналитикам ИБ, администраторам PT NAD и специалистам SOC.

Лента активностей


В верхней части интерфейса любой страницы PT NAD находится главное меню. В новой версии там появился раздел «Лента активностей» — страница со списком обнаруженных подозрительных активностей в информационной инфраструктуре. В отличие от атак, каждая из которых привязана к конкретной сессии, активность обнаруживается в ходе комплексного анализа цепочки сессий.



У каждой активности в ленте указана дата и время последнего обнаружения, уровень опасности, период активности и краткое описание.



В версии PT Network Attack Discovery 10.1 в ленте появляются сообщения. Это происходит, когда:

  • Выявлен неизвестный DHCP-сервер

Если система выявит новый DHCP-сервер, то она сообщит об этом оператору безопасности, причем данный сервер может оказаться как ранее незамеченным и легитимным, так и вредоносным. Вредоносный DHCP-сервер может использоваться в атаках типа Man-in-the-Middle (MITM), что позволит злоумышленнику перехватывать трафик для получения учетных данных пользователей.

  • Выявлен использование словарных паролей

Использование пользователями словарных паролей позволит злоумышленникам с легкостью воспользоваться технологией bruteforce и подобрать пароли за короткое время.

  • Уведомления о результатах ретроспективного анализа

Для выявления новых угроз PT NAD проводит анализ завершенных сессий с использованием новых и измененных репутационных списков. По умолчанию ретроспективный анализ запускается каждый час.

  • Уведомление по пользовательским фильтрам

Пользователь системы может заранее настроить фильтры, которые позволят отслеживать интересующую активность в сети. Как пример, это может быть передача большого объема данных с конкретного сервера, подключение конкретных пользователей к критичным ресурсам и тп.

Список узлов


Теперь PT Network Attack Discovery отображает актуальную информацию о сетевых узлах: IP-адреса, имя домена, установленная операционная система, используемые протоколы передачи данных, принадлежность к группам.

Изменения в узлах тоже отслеживаются. Данные об узлах можно фильтровать и отображать информацию именно по тем узлам, которые взаимодействовали с указанным в фильтре IP-адресом, ОС или доменом.



Также система может обнаруживать изменения в конфигурации ранее выявленных узлов. Например, если на рабочей станции сотрудника стал использоваться протокол SSH, который ранее не был замечен.

Для сбора первичной информации PT NAD сначала работает в режиме обучения. После получения необходимой информации и заполнения таблицы на вкладке «Узлы» данный режим можно отключить, отслеживая после этого момента появление новых узлов или изменения в их конфигурации и учитывая эту информацию в расследованиях.



Выявление аномальных LDAP-запросов


Для выявления аномальных LDAP-запросов в информационной инфраструктуре добавлен новый модуль «ptdpi-worker@ad». Это могут быть запросы, используемые злоумышленниками во время разведки и процессе сбора информации о домене (пользователи, группы, и тд).

Данные атаки можно отобразить по фильтру: alert.msg == “[ANOMALY] [PTsecurity] Unseen before ldap search query”



Настройка интерфейса


Появились дополнительные возможности по настройке интерфейса для пользователей продукта. На вкладке «Настройка интерфейса» пользователь может сменить язык интерфейса, поменять часовой пояс и включить показ расширенной информации в карточках сессий и атак.



Другие обновления


  • Появилось автоматическое обновление базы геолокации

База геолокации используется для обогащения сессий информации о географических данных узлов и её обновление теперь происходит в составе базы знаний экспертного центра PT Security.

  • Появилась интеграция с PT Sandbox
  • Появилась возможность работать с трафиком незавершенных сессий (отображаются по фильтру «state != FINISHED») так же как с трафиком завершенных, т.е. скачивать файлы из сессий, экспортировать дамп сессий в формате PCAP и тд.






  • Улучшились возможности обработки трафика

Добавился список протоколов, которые PT NAD может выявлять, к примеру, dhcpv6, smb-mailslot и др., а также добавились протоколы, которые система разбирает: quic, rdp и др.



В заключении:


Благодаря обновлению, PT NAD 10.1 позволяет быстрее выявлять сложные атаки, расследовать инциденты и проверять гипотезы.
Также в новой версии улучшилась обработка трафика и появились другие возможности, делая работу с продуктом удобнее и быстрее.

Проведите бесплатный комплексный аудит внутреннего сетевого трафика с использованием PT NAD.

Вебинар о продукте
Теги:pt nad positive technologiesnta системыинформационная безопасностьанализ сетевого трафика
Хабы: TS Solution Информационная безопасность Сетевые технологии
Всего голосов 10: ↑10 и ↓0 +10
Просмотры930

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
Местоположение
Россия
Сайт
tssolution.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре