Архив метки: MaxPatrolVM

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды Max­Pa­trol VM Pos­i­tive Tech­nolo­gies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы. Активность просто огненная. 🔥

Задания хакатона:

🔻 Стендирование. Написать плейбук для развертывания ПО с помощью Ansi­ble.
🔻 Обнаружение ПО. Написать скрипт для обнаружения ПО на хосте на языке Python. Цель скрипта сгенерировать OVAL Vari­ables с информацией по софту.
🔻 Обнаружение уязвимостей. Распарсить источник данных об уязвимостях и сформировать OVAL Def­i­n­i­tions. Затем провести детектирование уязвимостей используя OVAL Def­i­n­i­tions и артефакт работы скрипта обнаружения ПО (OVAL Vari­ables) с помощью утилиты Open­SCAP.

Таким образом участники хакатона пройдут весь путь поддержки продукта в сканере уязвимостей с использованием нейтрального опенсурсного стека:

Ansi­ble + Python + OVAL/OpenSCAP

При этом использование Python для сборки OVAL Vari­ables позволит снять ограничения связанные с OVAL объектами (мороки с их сбором — атас, а Open­SCAP под Win­dows вообще dic­scon­tin­ued) и при этом получить все преимущества OVAL — формализованное описание правил детектирования уязвимостей и готовые инстурумент для расчёта статусов в виде Open­SCAP.
Б — Баланс. 👍

💳 За выполнение заданий участники будут получать баллы, которые будут конвертированы в деньги.

🚀 Результаты работы участников не пропадут, а будут использованы в Max­Pa­trol VM (после ревью и через конвертацию в пакеты Max­Pa­trol VM).

Для участников сплошной Win:

🔸 Получаем реальную практику с востребованными технологиями (Ansi­ble и Python вообще must have в IT, а OVAL/SCAP кучей VM-продуктов используется и в России, и зарубежом).
🔸 Получаем отличную строчку в резюме (рассказывать на собесе как детекты писал, которые в Max­Pa­trol VM сейчас используется — круто же 🙂).
🔸 Получаем приятный денежный бонус с этого.
🔸 Получаем фаст-трек для вкатывания в команду разработки Max­Pa­trol VM, если процесс понравится и будут хорошие результаты. 😉

➡️ Подробности и регистрация тут
🟥 Официальный пост в канале Pos­i­tive Tech­nolo­gies

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу
На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

На прошлой неделе для Max­Pa­trol VM (вместе с SIEM) объявили Bug Boun­ty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).

В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷‍♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, open­source-библиотеках), но, по умолчанию, по минимальной границе.

В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.

Программу запустили в прошлую среду, уже 3 отчёта сдано.

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Начиная с версии 2.1, сканер (коллектор) Max­Pa­trol VM, поставленный на Lin­ux, может безагентно сканировать Win­dows-хосты в режиме Аудит. В режиме Пентест тоже, но это, имхо, чуть меньше впечатляет.

Казалось бы, а чего такого? Тот же Nes­sus ставится на Lin­ux и сканирует Win­dows. Или апплаенс Qualys‑а тоже не на винде работает. 🤔

Но для того, чтобы это реализовать нужно в Lin­ux-овый сканер добавить транспорты для сканирования Win­dows (как минимум Net­BIOS, SMB). А когда у вас десятилетиями сканер был исключительно виндовый, то считай транспорты нужно реализовать заново без использования платформозависимых библиотек. 🤷‍♂️ А потом тщательно протестировать, что всё работает.

Поэтому, когда отечественные VM-вендоры будут вам говорить, что они могут сканировать Lin­ux-овым сканером Win­dows хосты, уточняйте речь только об агентном сканировании (сделать гораздо проще) или о безагентном тоже.

Агентно Max­Pa­trol VM может сканировать через EDR агенты.

Аналитика Угроз и Управление Уязвимостями

Аналитика Угроз и Управление Уязвимостями

Аналитика Угроз и Управление Уязвимостями. Во вторник смотрел вебинар Pos­i­tive Tech­nolo­gies "PT ESC. Эпизод 1: погружение в Threat Intel­li­gence". Там было в основном про атаки, но про уязвимости и совместную работу PT Threat Ana­lyz­er с Max­Pa­trol VM тоже немного было (34:11).

🔹 Max­Pa­trol VM знает всё про уязвимости, которые актуальны для инфраструктуры заказчика.
🔹 PT Threat Analyser забирает список этих уязвимостей и делает сопоставление уязвимостей и индикаторов компрометации для вредоносного ПО, которое эти уязвимости эксплуатирует.

Таким образом заказчики могут фильтровать угрозы, актуальные именно для их инфраструктуры.

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"

Посмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практикаПосмотрел запись вебинара Positive Technologies Как использовать API в MaxPatrol VM: теория и практика

Посмотрел запись вебинара Pos­i­tive Tech­nolo­gies "Как использовать API в Max­Pa­trol VM: теория и практика". По теоретической части всё понятно: есть документированный API; он один и для интеграций, и для вебгуя. 🙂

По практической части показали:

🔻 Как использовать Max­Pa­trol API в REST-клиенте Nightin­gale (файл с примерами на гитхабе).
🔻 Неофициальный PTVM SDK. Небольшой Python скрипт с одним классом для работы с Max­Pa­trol API.
🔻 Консольный интерфейс Pos­i­tive CLI для Max­Pa­trol API. Автоматизацию можно делать и просто shell-скриптами дергающими CLI! 😇 Гораздо более функциональный проект, чем SDK, и тоже на Python. На скринах вывод уязвимостей с критичностью рассчитанной по методологии ФСТЭК и трендовые уязвимости с эксплоитом.
🔻 Как использовать Max­Pa­trol API в low-code инструменте n8n (на примере отправки результатов запроса в Telegram).

Ссылки на проекты добавляются на страницу addons.

Покажите коллегам, которые работают с Max­Pa­trol VM. 😉

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Завтра в 15:00 пройдёт вебинар по API Max­Pa­trol VM. Зарегался, буду смотреть. Я так-то базово умею пользоваться, даже пост по выгрузке данных по PDQL-запросу делал. Но наверняка коллеги расскажут что-нибудь новое и интересное. 🙂🍿

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

Посмотрел вебинар про использование Max­Pa­trol EDR в качестве агента для Max­Pa­trol VM.

Зачем нужно агентное сканирование:

🔸 можно сканировать активы, до которых активно не достучишься (десктопы)
🔸 нет проблем с учётками
🔸 можно более оперативно обновлять данные

Что показали:

🔹 как в политиках модуля EDR настраивается сканирование (запуск по расписанию, ожидание запуска пока не снизится загрузка CPU, пауза между повторными сканированиями, запуск по событию EDR)
🔹 как выглядит вкладка с состоянием агента
🔹 как выглядят результаты в активах VM

Важные моменты:

🔻 Агенты полноценные, сами инициируют соединение.
🔻 Поддерживается Win­dows и Lin­ux (в т.ч. Astra Lin­ux). MacOS пока не сканится, хотя EDR там работает.
🔻 Если у вас есть лицензия на VM, нужно будет докупить лицензию на агентное сканирование на нужное количество хостов.
🔻 Полноценный EDR можно не покупать, можно будет использовать урезанные агенты EDR только с функцией сканирования.