MaxPatrol SIEM

MaxPatrol SIEM — это российское решение от Positive Technologies, разработанное для обнаружения инцидентов информационной безопасности, которые способны нарушить киберустойчивость ИТ-инфраструктуры. Входит в Единый реестр российского программного обеспечения Минцифры и сертифицировано ФСТЭК России.
Решение собирает, хранит и анализирует данные о событиях информационной безопасности, происходящих в корпоративной ИТ-инфраструктуре. Это даёт возможность осуществлять мониторинг уровня защищённости приложений, узлов и подразделений ИТ-инфраструктуры, а также всей инфраструктуры в целом.
В состав решения входят программные компоненты, которые устанавливаются на одном или нескольких серверах. Такая архитектура позволяет решению масштабироваться и работать в компаниях независимо от их размера.
Список компонентов в составе MaxPatrol SIEM:
- MaxPatrol 10 Core,
- MaxPatrol SIEM Server,
- MaxPatrol SIEM Events Storage,
- MaxPatrol 10 Collector,
- MaxPatrol NAD Sensor,
- Knowledge Base,
- PT Management and Configuration,
- PT Update and Configuration Service,
- PT Cybsi Provider,
- PT Retro Correlator.
Ключевые особенности системы:
- автоматическое пополнение системы новыми пакетами экспертизы и совершенствование уже загруженных правил;
- встроенная система второго мнения (ML-помощник BAD), которая за счёт использования альтернативных методов оценки событий информационной безопасности повышает эффективность обнаружения кибервторжений;
- решение поставляется «в коробке», легко и быстро разворачивается на стороне клиента и запускается в работу;
- высокие адаптационные возможности к меняющимся реалиям в инфраструктуре;
- группировка активов для более лёгкой настройки правил корреляции;
- проверка подозрительных файлов, просмотр связанных событий и реагирование на инциденты выполняются легко, благодаря использованию карточек событий analyst experience;
- мониторинг событий на корпоративном уровне Enterprise.
Основные функциональные возможности решения:
- сбор данных о сетевых узлах и их взаимосвязях;
- сбор данных о событиях из таких источников, как программное обеспечение или аппаратные устройства;
- использование таблиц и диаграмм для визуализации данных об инцидентах, событиях и активах (вся информация отображается в веб-интерфейсе);
- организация проведения расследований инцидентов и ликвидация их негативных последствий;
- ведение репутационных списков с актуальными данными об угрозах и вредоносных IP-адресах;
- работа с активами в автоматизированном режиме;
- проведение анализа событий информационной безопасности на основе специально разработанных правил;
- ретроспективный анализ угроз;
- использование оповещений операторов в случае появления каких-либо изменений в ИТ-инфраструктуре;
- интеграция с PT NAD;
- работа с крупными иерархическими инфраструктурами;
- использование гибкого конструктора для создания собственных правил корреляции;
- проверка гипотез через просмотр корреляционных событий.
MaxPatrol SIEM в автоматическом режиме получает актуальные пакеты данных о киберугрозах. В них содержится информация о параметрах обработки и сбора событий информационной безопасности, а также правила и рекомендации по реагированию на них. Пакеты данных формируются из информации, получаемой из базы знаний Knowledge Base, которая регулярно обновляется специалистами компании Positive Technologies.
Сценарии использования решения:
- Применение технологии детальной инвентаризации для контроля изменений в ИТ-инфраструктуре и сбора данных. Это включает в себя создание карточки актива. В ней осуществляется журналирование состояния актива, а также заносятся данные об активе (признак виртуальности узла, его имя и тип операционной системы). Собираются активы в динамические и статические группы. Это даёт возможность гибкой настройки корреляции, а также более эффективного мониторинга систем с устаревшим программным обеспечением, открытыми портами и одинаковыми слабыми местами.
- Подключение максимального количества источников событий информационной безопасности для наилучшего мониторинга происходящих событий в ИТ-инфраструктуре.
- Единая точка мониторинга информационной безопасности в инфраструктурах с высокими нагрузками позволяет работать с офисами, филиалами и облачными ресурсами в режиме одного окна. Решение может обрабатывать на одном ядре со всеми экспертными правилами больше 540 000 событий каждую секунду.
- Использование технологии машинного обучения и встроенной экспертизы для обнаружения сложных целенаправленных атак, которые могут действовать в обход правилам корреляции. Решение может создавать собственные правила корреляции, используя для этого конструктор, настраивать их в соответствии со спецификой ИТ-инфраструктуры, использовать белые списки для автоматической фильтрации ложных срабатываний.
- Использование ML-помощника BAD для валидации инцидентов.
- Реагирование на инцидент и срочное расследование из единого окна, благодаря совместной работе решения с продуктом защиты конечных точек MaxPatrol EDR. При этом используются правила обогащения политик для подтверждения большей части инцидентов без дополнительных запросов данных со стороны SOC. Также можно обращаться к системам сторонних вендоров для дополнительной помощи.
Получить консультацию
Если вы хотите приобрести лицензии, узнать цены, или получить информацию по продуктам — отправьте заявку, и мы с вами свяжемся.