Что нового в PT NAD 10.1: обновления и практическое применение

Компания Positive Technologies выпустила новую версию системы глубокого анализа трафика PT Network Attack Discovery 10.1. Мы подробно изучили обновления; сегодня узнаем, чем они могут помочь в работе, и расскажем о PT NAD 10.1 подробнее. Статья будет полезна аналитикам ИБ, администраторам PT NAD и специалистам SOC.

1. Введение
2. Лента активностей
3. Список узлов
4. Выявление аномальных LDAP-запросов
5. Настройка интерфейса
6. Другие изменения
7. Выводы

Введение

Для противодействия целевым атакам недостаточно использовать специализированные средства защиты, нужно работать с актуальными версиями этих средств. Предлагаем посмотреть на новую версию продукта PT NAD и оценить, что изменилось в продукте и как это упростит жизнь специалистам по информационной безопасности.

Лента активностей

В верхней части интерфейса любой страницы PT NAD находится главное меню. В новой версии там появился раздел «Лента активностей» — страница со списком обнаруженных подозрительных действий в информационной инфраструктуре. В отличие от атак, каждая из которых привязана к конкретной сессии, активность обнаруживается в ходе комплексного анализа цепочки сессий.

Рисунок 1. Главное меню в интерфейсе PT NAD

Для каждой активности в ленте указаны дата и время последнего обнаружения, уровень опасности, период и краткое описание.

Рисунок 2. Сведения об активности в PT NAD

В версии PT Network Attack Discovery 10.1 в ленте появляются сообщения. Это происходит в следующих случаях:

• Выявлен неизвестный DHCP-сервер, который может оказаться как ранее незамеченным и легитимным, так и вредоносным. Вредоносный DHCP-сервер может использоваться в атаках типа Man-in-the-Middle (MitM), что позволит злоумышленнику перехватывать трафик для получения пользовательских учётных данных.
• Выявлено применение словарных паролей, позволяющее злоумышленникам с лёгкостью подобрать кодовые слова за короткое время при помощи брутфорса.
• Получены результаты ретроспективного анализа. Для выявления новых угроз PT NAD проводит анализ завершённых сессий с использованием новых и изменённых репутационных списков. По умолчанию ретроспективный анализ запускается каждый час.
• Создано уведомление по пользовательским фильтрам. Пользователь системы может заранее настроить фильтры, которые позволят отслеживать интересующую его активность в сети. Например, это могут быть передача большого объёма данных с конкретного сервера, подключение конкретных пользователей ко критически важным ресурсам и т. п.

Список узлов

Теперь PT Network Attack Discovery отображает актуальную информацию о сетевых узлах: IP-адрес, имя домена, установленную операционную систему, используемые протоколы передачи данных, принадлежность ко группам.

Изменения в узлах тоже отслеживаются. Данные можно фильтровать, отображая информацию именно по тем узлам, которые взаимодействовали с указанными в фильтре IP-адресом, ОС или доменом.

Рисунок 3. Список узлов в PT NAD

Также система может обнаруживать изменения в конфигурации ранее обнаруженных узлов — например, если на рабочей станции сотрудника стал использоваться протокол SSH, который ранее не был там замечен.

Для сбора первичной информации PT NAD сначала работает в режиме обучения. Когда таблица на вкладке «Узлы» окажется заполненной, данный режим можно будет отключить, отслеживая после этого момента появление новых узлов или изменения в конфигурации уже известных и учитывая всю эту информацию в расследованиях.

Рисунок 4. Сведения об узле в PT NAD

Выявление аномальных LDAP-запросов

Для выявления аномальных LDAP-запросов в информационной инфраструктуре добавлен новый модуль «ptdpi-worker[@]ad». Это могут быть запросы, используемые злоумышленниками во время разведки и в процессе сбора информации о домене (пользователи, группы и т. д.). Подробнее об этом специалисты поговорят на регулярном вебинаре с Евгением Добаевым, менеджером по продвижению продуктов Positive Technologies.

Данные атаки можно отобразить по следующему фильтру:

alert.msg == "[ANOMALY] [PTsecurity] Unseen before ldap search query"

Рисунок 5. Выявление аномальных LDAP-запросов в PT NAD

Настройка интерфейса

Появились дополнительные возможности по настройке интерфейса для пользователей продукта. На соответствующей вкладке пользователь может сменить язык интерфейса, поменять часовой пояс и включить показ расширенной информации в карточках сессий и атак.

Рисунок 6. Настройка интерфейса PT NAD

Другие изменения

• Появилось автоматическое обновление базы геолокации (используется для обогащения сессий информацией о географических данных узлов), которое теперь происходит в составе базы знаний экспертного центра PT Security.
• Появилась интеграция с PT Sandbox.
• Появилась возможность работать с трафиком незавершённых сессий (отображаются по фильтру «state != FINISHED») так же, как с трафиком завершённых, т. е. скачивать файлы из сессий, экспортировать дампы сессий в формате PCAP и т. д.

Рисунок 7. Работа с трафиком незавершённых сессий

Рисунок 8. Сведения о трафике незавершённой сессии

• Улучшились возможности обработки трафика. Появился список протоколов, которые PT NAD может выявлять (к примеру, dhcpv6, smb-mailslot и др.), а также добавились протоколы, которые разбирает система: quic, rdp и др.

Рисунок 9. Протоколы в PT NAD

Выводы

Благодаря обновлению PT NAD 10.1 позволяет быстрее выявлять сложные атаки, расследовать инциденты и проверять гипотезы.

Также в новой версии улучшилась обработка трафика и появились другие возможности, которые делают работу с продуктом удобнее и быстрее.