НОВОСТИ
Security Capsule SIEM и Indeed PAM: новый стандарт контроля привилегированного доступа
Контекст
Любая крупная организация рано или поздно сталкивается с вопросом: кто и что делает под привилегированными учетными записями?
Без централизованного PAM-контроля расследовать подозрительную активность становится сложно: в логах есть отдельные события, но нет целостной картины, когда, куда и откуда подключался администратор.
Партнёр обратился к нам с задачей:
- исключить несанкционированные входы администраторов
- выявлять использование привилегированных учетных записей вне рабочего времени
- отлавливать массовые изменения групп и привилегий
- обнаруживать системные ошибки доступа и попытки brute-force
- повысить видимость действий IT-аутсорсеров и админов
Для решения этих задач мы реализовали связку Indeed PAM + Security Capsule SIEM
Что мы сделали
Команда Security Capsule SIEM совместно с компанией «Индид» реализовала интеграцию, включающую:
- приём событий Indeed PAM в формате CEF/Syslog (UserLoginInfo, UserLoginError, ChangeAccountGroupsInfo, AddUserSshAuthorizedKeyInfo, ViewAccountCredentialsError и др.)
- разработку высокоточных правил корреляции, соответствующих реальным полям PAM и закрывающих критичные сценарии использования привилегий
- внедрение механизмов анализа активности в рабочее/нерабочее время и обнаружения массовых операций с привилегиями
- проверку всех правил на реальных логах из инфраструктуры заказчика
Внедрённый набор правил корреляции позволяет обнаруживать:
- использование привилегированных учётных записей вне рабочего времени (User Console и проксированные протоколы RDP/SSH/Telnet/PostgreSQL)
- массовые изменения групп и выдачу привилегий — на основе событий ChangeAccountGroupsInfo
- добавление SSH-ключей в привилегированные учётки вне рабочего времени
- множественные попытки входа в PAM User Console и админскую консоль — признаки brute-force
- попытку получения данных с заблокированной учёткой (ViewAccountCredentialsError);
(например: «User XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX is blocked»)
Этот набор покрывает самые важные риски, связанные с управлением привилегиями, и уже даёт SOC мощный слой контроля.
Результаты
Что изменилось после внедрения:
- Время обнаружения злоупотреблений сократилось до 1–2 минут благодаря off-hours корреляциям.
- Все попытки входа через PAM User Console и административные интерфейсы становятся полностью видимыми.
- Массовые смены групп и привилегий теперь автоматически детектируются — невозможно незаметно повысить уровень доступа
- SOC видит попытки обращения к ресурсам с заблокированными учетными записями
- Снижены риски brute-force на Management Console PAM — множественные ошибки входа фиксируются мгновенно
- Аудит привилегированных операций стал структурированным: события PAM используются в корреляции «из коробки»
Итог: заказчик получил прозрачный и контролируемый контур управления привилегиями, без необходимости вручную анализировать десятки типовых событий PAM.
Кейс: как связка помогла бы в «Операции Ночной Администратор»
В реальном аналогичном инциденте злоумышленники использовали старую учётную запись, затем повысили привилегии и создали новых админов.
Если бы инфраструктура использовала Indeed PAM и SC SIEM:
- ночной вход в User Console или через RDP/SSH-Proxy вне рабочего времени сразу попал бы в SOC
- массовые изменения групп привлекли бы внимание автоматически
- попытки подобрать доступ к PAM-консолям — были бы зафиксированы как серия ошибок
- любые действия с учётной записью, находящейся в состоянии «blocked», вызвали бы инцидент
Даже без глубокого поведенческого анализа атака была бы замечена существенно раньше
Что SC SIEM выявляет из коробки (именно с этими правилами)
- входы в PAM User Console вне установленного рабочего окна
- логины по RDP/SSH/Telnet/PostgreSQL через PAM-прокси в нерабочее время
- добавление SSH-ключей в привилегированные учётки за пределами рабочего графика
- массовые изменения групп / выдачу привилегий
- множественные ошибки входа в PAM User Console и админскую консоль (brute-force)
- обращение к привилегированным ресурсам с заблокированной учётной записью
Все эти детекторы уже доступны клиентам SC SIEM сразу после подключения Indeed PAM.
Заместитель генерального директора по информационной безопасности, ИТБ
В этой интеграции мы сделали ставку на практическую пользу для SOC, а не на декларацию “совместимо”.
Мы реализовали именно те правила, которые закрывают ключевые риски управления привилегированными аккаунтами здесь и сейчас — off-hours активность, brute-force, массовые изменения прав и обращения с заблокированными учетными записями.
Это первый этап — и мы продолжим расширять глубину аналитики PAM-событий в SC SIEM.
директор по продуктовому развитию в Индид
Совместимость Indeed PAM с Security Capsule SIEM открывает для корпоративных клиентов дополнительные возможности в областях управления доступом, мониторинга и аналитики. Эффективно настроенные правила корреляции SIEM-системы позволяют уменьшить время обнаружения подозрительной активности, связанной с учетными данными пользователей с расширенными правами. В результате организации получают надежный инструмент для контроля привилегированных учетных записей и своевременного реагирования на инциденты обнаружения подозрительной активности, связанной с учетными данными»
Финал
Security Capsule SIEM + Indeed PAM — это уже сегодня рабочий, прозрачный и воспроизводимый механизм контроля привилегированного доступа.
Интеграция доступна всем клиентам SC SIEM: достаточно подключить PAM-источник в режиме CEF/Syslog — и SOC получит полноценный мониторинг критичных действий администраторов.
Тест-драйв