Любая крупная организация рано или поздно сталкивается с вопросом: кто и что делает под привилегированными учетными записями?

Без централизованного PAM-контроля расследовать подозрительную активность становится сложно: в логах есть отдельные события, но нет целостной картины, когда, куда и откуда подключался администратор.

Партнёр обратился с задачей:

• исключить несанкционированные входы администраторов;
• выявлять использование привилегированных учетных записей вне рабочего времени;
• отлавливать массовые изменения групп и привилегий;
• обнаруживать системные ошибки доступа и попытки brute-force;
• повысить видимость действий IT-аутсорсеров и админов.

Для решения этих задач была реализована связка Indeed PAM + Security Capsule SIEM.

Что было сделано

Команда Security Capsule SIEM совместно с компанией «Индид» реализовала интеграцию, включающую:

• приём событий Indeed PAM в формате CEF/Syslog (UserLoginInfo, UserLoginError, ChangeAccountGroupsInfo, AddUserSshAuthorizedKeyInfo, ViewAccountCredentialsError и др.);
• разработку высокоточных правил корреляции, соответствующих реальным полям PAM и закрывающих критичные сценарии использования привилегий;
• внедрение механизмов анализа активности в рабочее/нерабочее время и обнаружения массовых операций с привилегиями;
• проверку всех правил на реальных логах из инфраструктуры заказчика.

Внедрённый набор правил корреляции позволяет обнаруживать:

• использование привилегированных учёток вне рабочего времени (User Console и проксированные протоколы RDP/SSH/Telnet/PostgreSQL);
• массовые изменения групп и выдачу привилегий — на основе событий ChangeAccountGroupsInfo;
• добавление SSH-ключей в привилегированные учётки вне рабочего времени;
• множественные попытки входа в PAM User Console и админскую консоль — признаки brute-force;
• попытку получения данных с заблокированной учёткой (ViewAccountCredentialsError); 
  (например: «User XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX is blocked»).

Этот набор покрывает самые важные риски, связанные с управлением привилегиями, и уже даёт SOC мощный слой контроля.

Результаты

Что изменилось после внедрения:

• Время обнаружения злоупотреблений сократилось до 1–2 минут благодаря off-hours корреляциям.
• Все попытки входа через PAM User Console и административные интерфейсы становятся полностью видимыми.
• Массовые смены групп и привилегий теперь автоматически детектируются — невозможно незаметно повысить уровень доступа.
• SOC видит попытки обращения к ресурсам с заблокированными учетными записями.
• Снижены риски brute-force на Management Console PAM — множественные ошибки входа фиксируются мгновенно.
• Аудит привилегированных операций стал структурированным: события PAM используются в корреляции «из коробки».

Итог: заказчик получил прозрачный и контролируемый контур управления привилегиями, без необходимости вручную анализировать десятки типовых событий PAM.

Кейс: как связка помогла бы в «Операции Ночной Администратор»

В реальном аналогичном инциденте злоумышленники использовали старую учётку, затем повысили привилегии и создали новых админов.

Если бы инфраструктура использовала Indeed PAM и SC SIEM:

• ночной вход в User Console или через RDP/SSH-Proxy вне рабочего времени сразу попал бы в SOC;
• массовые изменения групп привлекли бы внимание автоматически;
• попытки подобрать доступ к PAM-консолям — были бы зафиксированы как серия ошибок;
• любые действия с учёткой, находящейся в состоянии «blocked», вызвали бы инцидент.

Даже без глубокого поведенческого анализа атака была бы замечена существенно раньше.

Что SC SIEM выявляет из коробки (именно с этими правилами)

• входы в PAM User Console вне установленного рабочего окна;
• логины по RDP/SSH/Telnet/PostgreSQL через PAM-прокси в нерабочее время;
• добавление SSH-ключей в привилегированные учётки за пределами рабочего графика;
• массовые изменения групп / выдачу привилегий;
• множественные ошибки входа в PAM User Console и админскую консоль (brute-force);
• обращение к привилегированным ресурсам с заблокированной учётной записью.

Все эти детекторы уже доступны клиентам SC SIEM сразу после подключения Indeed PAM.

Комментарий ООО «ИТБ» (разработчик SC SIEM)

«В этой интеграции мы сделали ставку на практическую пользу для SOC, а не на декларацию “совместимо”. Мы реализовали именно те правила, которые закрывают ключевые риски управления привилегированными аккаунтами здесь и сейчас — off-hours активность, brute-force, массовые изменения прав и обращения с заблокированными учетными записями. Это первый этап — и мы продолжим расширять глубину аналитики PAM-событий в SC SIEM», — пояснил Александр Вальтер, заместитель генерального директора по информационной безопасности в ИТБ.

По вопросам, связанным с решениями ООО «Инновационные Технологии в Бизнесе»: InformSecurity@mont.ru.

По вопросам, связанным с решениями Indeed: InformSecurity@mont.ru.