В MaxPatrol SIEM появились новые правила для мониторинга событий на ресурсах Yandex Cloud13.04.2023 15:01

В MaxPatrol SIEM появилось 70 новых правил для мониторинга событий ИБ в ресурсах, размещённых на облачной платформе Yandex Cloud. Первый пакет экспертизы для выявления подозрительной активности на ресурсах Yandex Cloud был добавлен в MaxPatrol SIEM в 2022 году, рассказали информационной службе в пресс‑службе облачного провайдера.

В обновление ПО входят 50 правил нормализации событий и 20 правил корреляции. По словам разработчиков, обновления позволят поддерживать больше аудитных событий безопасности в Yandex Cloud.

Новые правила корреляции и нормализации на ранних этапах помогают выявить попытки получения нелегитимного доступа к ресурсам, размещённым на облачной платформе.

d2e791a6885fe2999949fc5ab70d7bf1.pngДавид Никачадзе 

Специалист департамента базы знаний и экспертизы ИБ, Positive Technologies.

«Перечень правил был разработан при экспертной поддержке специалистов Yandex Cloud с учётом их рекомендаций по выбору событий безопасности. Одно из ключевых изменений, пришедших с этими обновлениями, — нативная поддержка логов Kubernetes, что позволит точнее детектировать попытки компрометации облачных сред».

Для появления новых правил надо обновить MaxPatrol SIEM до версии 7.0 и установить обновления пакетов экспертизы по инструкции для настройки сбора событий Yandex Cloud и Kubernetes. Новые правила MaxPatrol SIEM помогают выявить:

  • нелегитимное подключение с внешнего адреса к кластеру Kubernetes. Это может быть попыткой получения доступа к облачным ресурсам злоумышленниками в Yandex Managed Service for Kubernetes;

  • нелегитимное назначение административных прав доступа к каталогу или облаку в сервисе Yandex Resource Manager;

  • нелегитимное назначение права на управление членством в группах IAM в Yandex Cloud Organization;

  • назначение группе безопасности небезопасного списка контроля доступа, что может подвергать инфраструктуру риску компрометации в Yandex Virtual Private Cloud;

  • создание публичного IP‑адреса без защиты от DDoS атак, что делает сервисы уязвимыми для атак типа «отказ в обслуживании» в Yandex Virtual Private Cloud;

  • отключение логирования в кластере, что может свидетельствовать о попытке сокрытия действий злоумышленником в сервисах управления различными базами данных;

  • создание ресурсов (таких, как виртуальные машины, кластеры баз данных, кластеры Kubernetes, балансировщики приложений) без использования групп безопасности.

© Habrahabr.ru