Архив метки: MaxPatrolVM

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы. Активность просто огненная. 🔥

Задания хакатона:

🔻 Стендирование. Написать плейбук для развертывания ПО с помощью Ansible.
🔻 Обнаружение ПО. Написать скрипт для обнаружения ПО на хосте на языке Python. Цель скрипта сгенерировать OVAL Variables с информацией по софту.
🔻 Обнаружение уязвимостей. Распарсить источник данных об уязвимостях и сформировать OVAL Definitions. Затем провести детектирование уязвимостей используя OVAL Definitions и артефакт работы скрипта обнаружения ПО (OVAL Variables) с помощью утилиты OpenSCAP.

Таким образом участники хакатона пройдут весь путь поддержки продукта в сканере уязвимостей с использованием нейтрального опенсурсного стека:

Ansible + Python + OVAL/OpenSCAP

При этом использование Python для сборки OVAL Variables позволит снять ограничения связанные с OVAL объектами (мороки с их сбором - атас, а OpenSCAP под Windows вообще dicscontinued) и при этом получить все преимущества OVAL - формализованное описание правил детектирования уязвимостей и готовые инстурумент для расчёта статусов в виде OpenSCAP.
Б - Баланс. 👍

💳 За выполнение заданий участники будут получать баллы, которые будут конвертированы в деньги.

🚀 Результаты работы участников не пропадут, а будут использованы в MaxPatrol VM (после ревью и через конвертацию в пакеты MaxPatrol VM).

Для участников сплошной Win:

🔸 Получаем реальную практику с востребованными технологиями (Ansible и Python вообще must have в IT, а OVAL/SCAP кучей VM-продуктов используется и в России, и зарубежом).
🔸 Получаем отличную строчку в резюме (рассказывать на собесе как детекты писал, которые в MaxPatrol VM сейчас используется - круто же 🙂).
🔸 Получаем приятный денежный бонус с этого.
🔸 Получаем фаст-трек для вкатывания в команду разработки MaxPatrol VM, если процесс понравится и будут хорошие результаты. 😉

➡️ Подробности и регистрация тут
🟥 Официальный пост в канале Positive Technologies

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

Добавить комментарий

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).

В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷‍♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), но, по умолчанию, по минимальной границе.

В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.

Программу запустили в прошлую среду, уже 3 отчёта сдано.

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Добавить комментарий

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит. В режиме Пентест тоже, но это, имхо, чуть меньше впечатляет.

Казалось бы, а чего такого? Тот же Nessus ставится на Linux и сканирует Windows. Или апплаенс Qualys-а тоже не на винде работает. 🤔

Но для того, чтобы это реализовать нужно в Linux-овый сканер добавить транспорты для сканирования Windows (как минимум NetBIOS, SMB). А когда у вас десятилетиями сканер был исключительно виндовый, то считай транспорты нужно реализовать заново без использования платформозависимых библиотек. 🤷‍♂️ А потом тщательно протестировать, что всё работает.

Поэтому, когда отечественные VM-вендоры будут вам говорить, что они могут сканировать Linux-овым сканером Windows хосты, уточняйте речь только об агентном сканировании (сделать гораздо проще) или о безагентном тоже.

Агентно MaxPatrol VM может сканировать через EDR агенты.

Аналитика Угроз и Управление Уязвимостями

Добавить комментарий

Аналитика Угроз и Управление Уязвимостями. Во вторник смотрел вебинар Positive Technologies "PT ESC. Эпизод 1: погружение в Threat Intelligence". Там было в основном про атаки, но про уязвимости и совместную работу PT Threat Analyzer с MaxPatrol VM тоже немного было (34:11).

🔹 MaxPatrol VM знает всё про уязвимости, которые актуальны для инфраструктуры заказчика.
🔹 PT Threat Analyser забирает список этих уязвимостей и делает сопоставление уязвимостей и индикаторов компрометации для вредоносного ПО, которое эти уязвимости эксплуатирует.

Таким образом заказчики могут фильтровать угрозы, актуальные именно для их инфраструктуры.

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"

Добавить комментарий

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика". По теоретической части всё понятно: есть документированный API; он один и для интеграций, и для вебгуя. 🙂

По практической части показали:

🔻 Как использовать MaxPatrol API в REST-клиенте Nightingale (файл с примерами на гитхабе).
🔻 Неофициальный PTVM SDK. Небольшой Python скрипт с одним классом для работы с MaxPatrol API.
🔻 Консольный интерфейс Positive CLI для MaxPatrol API. Автоматизацию можно делать и просто shell-скриптами дергающими CLI! 😇 Гораздо более функциональный проект, чем SDK, и тоже на Python. На скринах вывод уязвимостей с критичностью рассчитанной по методологии ФСТЭК и трендовые уязвимости с эксплоитом.
🔻 Как использовать MaxPatrol API в low-code инструменте n8n (на примере отправки результатов запроса в Telegram).

Ссылки на проекты добавляются на страницу addons.

Покажите коллегам, которые работают с MaxPatrol VM. 😉

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Добавить комментарий

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM. Зарегался, буду смотреть. Я так-то базово умею пользоваться, даже пост по выгрузке данных по PDQL-запросу делал. Но наверняка коллеги расскажут что-нибудь новое и интересное. 🙂🍿

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

1 комментарий

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM.

Зачем нужно агентное сканирование:

🔸 можно сканировать активы, до которых активно не достучишься (десктопы)
🔸 нет проблем с учётками
🔸 можно более оперативно обновлять данные

Что показали:

🔹 как в политиках модуля EDR настраивается сканирование (запуск по расписанию, ожидание запуска пока не снизится загрузка CPU, пауза между повторными сканированиями, запуск по событию EDR)
🔹 как выглядит вкладка с состоянием агента
🔹 как выглядят результаты в активах VM

Важные моменты:

🔻 Агенты полноценные, сами инициируют соединение.
🔻 Поддерживается Windows и Linux (в т.ч. Astra Linux). MacOS пока не сканится, хотя EDR там работает.
🔻 Если у вас есть лицензия на VM, нужно будет докупить лицензию на агентное сканирование на нужное количество хостов.
🔻 Полноценный EDR можно не покупать, можно будет использовать урезанные агенты EDR только с функцией сканирования.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: MaxPatrolVM

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Аналитика Угроз и Управление Уязвимостями

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM