Вышла новая версия SIEM-системы от Positive Technologies – MaxPatrol SIEM 8.0
Вместе с обновлением у новой версии системы управления событиями и инцидентами информационной безопасности снизились системные требования, увеличились производительность и объем хранения данных, а также появился новый модуль поведенческого анализа.
В условиях постоянного роста количества кибератак и появления новых способов проникновения, которыми могут воспользоваться злоумышленники, ручной контроль за безопасностью компании стал практически невозможен. Даже при наличии решений всех основных классов полная защищенность доступна только при своевременном обнаружении и реагировании на подозрительную активность. Учитывая, с каким объемом информации требуется работать, организациям для должной защиты необходима система, которая будет в автоматическом режиме отслеживать все операции и отмечать потенциально вредоносные, фокусируя внимание ИБ-специалистов на тех инцидентах, которые требуют этого в первую очередь. Именно для этого существуют SIEM-решения, и одним из самых популярных в этом классе является продукт от Positive Technologies.
Новая версия MaxPatrol SIEM получила несколько крупных обновлений. Во-первых, она стала доступна для большего круга клиентов за счет снижения системных требований. Оперативной памяти и процессоров для развертывания системы теперь нужно вдвое меньше, что существенно снижает расходы на аппаратное обеспечение и упрощает внедрение решения на стороне клиентов. Во-вторых, MaxPatrol SIEM 8.0 стала эффективнее, благодаря повышению производительности работы на одном ядре, что позволило повысить объем обрабатываемых событий до 540 тысяч в секунду. Это позволяет эффективно обеспечивать безопасность геораспределенной инфраструктуры, в том числе филиальных сетей. В-третьих, до 6 раз был увеличен срок или объем хранения данных, благодаря использованию LogSpace – СУБД, разработанной Positive Technologies, что дополнительно помогает оптимизировать работу с поступающей в систему информацией о событиях ИБ.
Отдельно стоит отметить Behavioral Anomaly Detection (BAD) – новый модуль поведенческого анализа, основанный на технологии машинного обучения, в который встроено более 30 моделей. Он позволяет обнаруживать атаки злоумышленников с использованием таких тактик, как «Выполнение», «Управление и контроль» и «Горизонтальное перемещение» по модели MITRE ATT&CK, а также подтверждать срабатывания соответствующих правил корреляции. Все это дает возможность снизить нагрузку на аналитиков SIEM, ускоряя принятие решений по инцидентам. При этом BAD работает как система «второго мнения», собирает и анализирует данные о событиях, пользователях и процессах в контексте событий, а также присваивает им определенный уровень риска (risk score).
Помимо этого, в 8-й версии MP SIEM внедрен ряд quality-of-life улучшений, включая вывод информации из сторонних сервисов на один экран, контекстные фильтры, обновленный поиск с помощью PDQL4-запросов и оптимизацию UX. Все это позволяет операторам обрабатывать каждый киберинцидент без переключения на другие системы, используя только информацию внутри самой MP SIEM, и делать это до двух раз быстрее, чем в предыдущей версии продукта.
Также была улучшена интеграция с другими сервисами: появилась возможность отправлять из карточки событий кросс-сервисные запросы в PT Network Attack Discovery, MaxPatrol EDR, PT Sandbox, RST Cloud, Whois7 и другие системы, что дополнительно обогащает ИБ-события. Например, если в событии указаны действия над неким файлом, интеграция с sandbox-решением позволит узнать, был ли этот файл вредоносным, а информация об IP-адресе подскажет, откуда он был отправлен. Такая информация помогает более эффективно реагировать на инциденты.
«Я работаю с MaxPatrol SIEM уже более 4 лет, и рад видеть, что разработчик продолжает активно развивать продукт и добавлять в него не только новые правила, но и функциональные изменения. Особенно хочется отметить возросшее быстродействие, а также внедрение ИИ-функций, которые помогают упростить и оптимизировать работу ИБ-аналитиков», - отметил Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT.
Специалисты iTPROTECT уже не один год успешно реализуют проекты по внедрению MaxPatrol SIEM и других продуктов от Positive Technologies. Так, внедрение системы в одной из крупных фармацевтических компаний помогло клиенту упростить процесс обнаружения уязвимостей, управления инцидентами и ИТ-активами в целом.
Если вам нужна помощь в пилотировании MaxPatrol SIEM или консультация по возможностям системы в связке с вашей инфраструктурой, оставьте нам заявку.