MaxPatrol SIEM

MaxPatrol SIEM

MaxPatrol SIEM — это российское решение от Positive Technologies, разработанное для обнаружения инцидентов информационной безопасности, которые способны нарушить киберустойчивость ИТ-инфраструктуры. Входит в Единый реестр российского программного обеспечения Минцифры и сертифицировано ФСТЭК России.

Решение собирает, хранит и анализирует данные о событиях информационной безопасности, происходящих в корпоративной ИТ-инфраструктуре. Это даёт возможность осуществлять мониторинг уровня защищённости приложений, узлов и подразделений ИТ-инфраструктуры, а также всей инфраструктуры в целом.

В состав решения входят программные компоненты, которые устанавливаются на одном или нескольких серверах. Такая архитектура позволяет решению масштабироваться и работать в компаниях независимо от их размера.

Список компонентов в составе MaxPatrol SIEM:

  • MaxPatrol 10 Core,
  • MaxPatrol SIEM Server,
  • MaxPatrol SIEM Events Storage,
  • MaxPatrol 10 Collector,
  • MaxPatrol NAD Sensor,
  • Knowledge Base,
  • PT Management and Configuration,
  • PT Update and Configuration Service,
  • PT Cybsi Provider,
  • PT Retro Correlator.

Ключевые особенности системы:

  • автоматическое пополнение системы новыми пакетами экспертизы и совершенствование уже загруженных правил;
  • встроенная система второго мнения (ML-помощник BAD), которая за счёт использования альтернативных методов оценки событий информационной безопасности повышает эффективность обнаружения кибервторжений;
  • решение поставляется «в коробке», легко и быстро разворачивается на стороне клиента и запускается в работу;
  • высокие адаптационные возможности к меняющимся реалиям в инфраструктуре;
  • группировка активов для более лёгкой настройки правил корреляции;
  • проверка подозрительных файлов, просмотр связанных событий и реагирование на инциденты выполняются легко, благодаря использованию карточек событий analyst experience;
  • мониторинг событий на корпоративном уровне Enterprise.

Основные функциональные возможности решения:

  • сбор данных о сетевых узлах и их взаимосвязях;
  • сбор данных о событиях из таких источников, как программное обеспечение или аппаратные устройства;
  • использование таблиц и диаграмм для визуализации данных об инцидентах, событиях и активах (вся информация отображается в веб-интерфейсе);
  • организация проведения расследований инцидентов и ликвидация их негативных последствий;
  • ведение репутационных списков с актуальными данными об угрозах и вредоносных IP-адресах;
  • работа с активами в автоматизированном режиме;
  • проведение анализа событий информационной безопасности на основе специально разработанных правил;
  • ретроспективный анализ угроз;
  • использование оповещений операторов в случае появления каких-либо изменений в ИТ-инфраструктуре;
  • интеграция с PT NAD;
  • работа с крупными иерархическими инфраструктурами;
  • использование гибкого конструктора для создания собственных правил корреляции;
  • проверка гипотез через просмотр корреляционных событий.

MaxPatrol SIEM в автоматическом режиме получает актуальные пакеты данных о киберугрозах. В них содержится информация о параметрах обработки и сбора событий информационной безопасности, а также правила и рекомендации по реагированию на них. Пакеты данных формируются из информации, получаемой из базы знаний Knowledge Base, которая регулярно обновляется специалистами компании Positive Technologies.

Сценарии использования решения:

  • Применение технологии детальной инвентаризации для контроля изменений в ИТ-инфраструктуре и сбора данных. Это включает в себя создание карточки актива. В ней осуществляется журналирование состояния актива, а также заносятся данные об активе (признак виртуальности узла, его имя и тип операционной системы). Собираются активы в динамические и статические группы. Это даёт возможность гибкой настройки корреляции, а также более эффективного мониторинга систем с устаревшим программным обеспечением, открытыми портами и одинаковыми слабыми местами.
  • Подключение максимального количества источников событий информационной безопасности для наилучшего мониторинга происходящих событий в ИТ-инфраструктуре.
  • Единая точка мониторинга информационной безопасности в инфраструктурах с высокими нагрузками позволяет работать с офисами, филиалами и облачными ресурсами в режиме одного окна. Решение может обрабатывать на одном ядре со всеми экспертными правилами больше 540 000 событий каждую секунду.
  • Использование технологии машинного обучения и встроенной экспертизы для обнаружения сложных целенаправленных атак, которые могут действовать в обход правилам корреляции. Решение может создавать собственные правила корреляции, используя для этого конструктор, настраивать их в соответствии со спецификой ИТ-инфраструктуры, использовать белые списки для автоматической фильтрации ложных срабатываний.
  • Использование ML-помощника BAD для валидации инцидентов.
  • Реагирование на инцидент и срочное расследование из единого окна, благодаря совместной работе решения с продуктом защиты конечных точек MaxPatrol EDR. При этом используются правила обогащения политик для подтверждения большей части инцидентов без дополнительных запросов данных со стороны SOC. Также можно обращаться к системам сторонних вендоров для дополнительной помощи.

Получить консультацию

Если вы хотите приобрести лицензии, узнать цены, или получить информацию по продуктам — отправьте заявку, и мы с вами свяжемся.