В PT NAD 12.4 добавили JA4 и новые модули контроля

Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery — 12.4. В релизе расширили управление дочерними системами через центральную консоль, добавили учёт времени суток в правилах профилирования и внедрили новые экспертные модули для контроля инфраструктуры.

Одно из ключевых изменений — доработка центральной консоли. Теперь через неё можно не только анализировать данные с дочерних инсталляций, но и управлять ими.

В версии 12.4 расширены возможности работы с иерархией: появились профили, механизм управления исключениями, настройка правил обнаружения атак, групп узлов и портов, а также репутационных списков. Это должно упростить администрирование распределённых систем.

В разделе репутационных списков добавлена возможность гибко включать и отключать их в зависимости от особенностей конкретной инфраструктуры. Каждый список теперь снабжён текстовым описанием. Кроме собственных репутационных данных Positive Technologies, в поставку включены индикаторы компрометации от ФСТЭК — это может быть важно для компаний, которым необходимо учитывать требования регулятора.

Обновления затронули и механизмы самообучения. Система автоматически определяет периоды высокой и низкой сетевой активности и снижает порог срабатывания пользовательских правил в «тихие» часы. Это позволяет точнее выявлять аномалии, например ночью, когда часто происходят атаки с использованием программ-вымогателей.

В продукт добавлены экспертные модули для выявления потенциальных нарушений корпоративных политик и контроля состояния инфраструктуры. В частности, система теперь отслеживает службы, доступные из интернета по публичному IP-адресу (например, SMB), контролирует истекающие TLS-сертификаты и фиксирует наличие промышленных протоколов в трафике — такие признаки могут указывать на ошибки сегментации или конфигурации сети.

Также в версии 12.4 реализован анализ отпечатков JA4. Этот механизм помогает выявлять особенности клиента по параметрам TLS-соединения и поведению в зашифрованных каналах, что может быть полезно для обнаружения подозрительных сессий и вредоносных инструментов. Кроме того, сигнатурный движок PT NAD теперь совместим с синтаксисом правил Suricata 7.0, что расширяет возможности по настройке детектирования.

Обновление до версии 12.4 доступно через техническую поддержку или партнёров компании.