SC SIEM и Indeed PAM объявили о запуске совместной интеграции

Компания ООО ИТБ, разработчик SIEM-системы Security Capsule SIEM, и компания «Индид», разработчик решения Indeed PAM, объявили о запуске совместной интеграции и завершении первого проекта у крупной российской организации. Целью проекта стало усиление контроля привилегированных учетных записей и сокращение времени реакции на инциденты, связанные со злоупотреблением правами администраторов.

Крупные компании все чаще сталкиваются с вопросом, кто и что делает под привилегированными учетными записями. Без централизованного PAM-контроля расследование инцидентов усложняется: в логах фиксируются разрозненные события, но нет целостной картины подключений и действий администраторов.

Партнер заказчика обратился к ООО ИТБ и «Индид» с задачей:

• исключить несанкционированные входы администраторов;
• выявлять использование привилегированных учетных записей вне рабочего времени;
• отслеживать массовые изменения групп и привилегий;
• обнаруживать системные ошибки доступа и попытки brute-force;
• повысить видимость действий IT-аутсорсеров и администраторов.

В рамках проекта была реализована связка Indeed PAM и Security Capsule SIEM.

Совместная команда настроила:

• прием событий Indeed PAM в формате CEF/Syslog (в том числе UserLoginInfo, UserLoginError, ChangeAccountGroupsInfo, AddUserSshAuthorizedKeyInfo, ViewAccountCredentialsError и др.);
• набор высокоточных правил корреляции по реальным полям PAM, закрывающих ключевые сценарии использования привилегий;
• механизмы анализа активности в рабочее и нерабочее время, а также детектирования массовых операций с привилегиями;
• проверку всех правил на реальных логах инфраструктуры заказчика.

По результатам внедрения:

• время обнаружения подозрительной активности по привилегированным учетным записям сократилось до 1–2 минут за счет корреляций off-hours;
• все попытки входа через PAM User Console и административные интерфейсы стали полностью наблюдаемыми для SOC;
• массовые изменения групп и привилегий автоматически детектируются, что снижает риск незаметного повышения доступа;
• фиксируются попытки обращения к ресурсам с заблокированными учетными записями;
• снижены риски brute-force на Management Console PAM — серии ошибок входа выделяются отдельными инцидентами;
• аудит привилегированных операций стал структурированным: события PAM используются в корреляции без доработок со стороны заказчика.

Типовые сценарии злоупотребления правами администраторов также учитываются в новом решении. Например, при использовании старых учетных записей с последующим повышением привилегий и созданием новых админов:

• ночной вход в PAM User Console или через RDP/SSH-proxy вне рабочего времени будет зафиксирован как инцидент;
• массовые изменения групп автоматически попадут в отчет SOC;
• попытки подбора пароля к PAM-консолям будут отражены как серия ошибок авторизации;
• любые действия с учетной записью в статусе «blocked» сформируют уведомление для службы ИБ.

На базе интеграции реализован типовой набор детекторов, который доступен клиентам Security Capsule SIEM при подключении Indeed PAM. В него входят:

• входы в PAM User Console вне установленного рабочего окна;
• логины по RDP/SSH/Telnet/PostgreSQL через PAM-прокси в нерабочее время;
• добавление SSH-ключей в привилегированные учетные записи за пределами рабочего графика;
• массовые изменения групп и выдача привилегий;
• множественные ошибки входа в PAM User Console и административную консоль (brute-force);
• обращения к привилегированным ресурсам с заблокированной учетной записью.

ООО ИТБи «Индид» планируют тиражировать совместное решение на другие сегменты рынка и использовать реализованный набор корреляций как стандарт контроля привилегированных доступов для клиентов Security Capsule SIEM и Indeed PAM.