MaxPatrol SIEM. Выявление инцендентов ИБ в реальном времени

MaxPatrol Security Information and Event Management выявляет сложные атаки уже на этапе внедрения. MaxPatrol SIEM стабилен в инфраструктурах любого размера и может обрабатывать более 540 000 событий в секунду (EPS) на одном ядре с подключением всех экспертных правил.

Гибкая архитектура позволяет покрыть все удаленные филиалы, офисы, облачные ресурсы — и отслеживать состояние ИБ из одного окна.

Актуальные данные об угрозах автоматически поступают в MaxPatrol SIEM в виде пакетов экспертизы. Они содержат правила, параметры сбора и обработки событий ИБ, рекомендации по реагированию. Пакеты формируются на основе информации, которую специалисты PT Expert Security Center и наших R&D-подразделений вносят в базу знаний PT Knowledge Base.

Преимущества MaxPatrol Security Information and Event Management

  • Более 1100 правил корреляции, заложенных в MaxPatrol SIEM, покрывают 70% всех техник матрицы MITRE ATT&CK. 

  • Быстрый результат: 350 поддерживаемых источников и 1100 правил «из коробки»

  • Актуальная экспертиза: обновление правил и пакетов экспертиз ежемесячно

  • Адаптация к изменениям в инфраструктуре и четкая идентификация ИТ активов.

  • Помощь в принятии решений: эффективное обнаружение атак за счет альтернативного метода оценки событий.

  • Enterprise производительность. MaxPatrol SIEM стабилен в инфраструктурах любого размера и может обрабатывать более 540 000 событий в секунду (EPS) на одном ядре с подключением всех экспертных правил.

  • Простота и удобство работы в рамках одного окна.


Сценарии использования  MaxPatrol SIEM

Сбор данных об инфраструктуре и отслеживание изменений в реальном времени:

Специалисты по ИБ зачастую не располагают актуальными данными об инфраструктуре компании. Без этой информации сложно выявить слабые места в защите и вовремя принять необходимые меры. Более того, в инфраструктуре постоянно происходят изменения: подключаются и отключаются системы, меняются конфигурации. Поэтому мониторинг и управление событиями ИБ нуждаются в постоянной актуализации.

С помощью технологии детальной инвентаризации MaxPatrol SIEM позволяет контролировать изменения инфраструктуры в реальном времени: 

  • автоматически создает карточку актива, в которой ведется журнал его состояния;

  • не дублирует активы при изменении IP- или MAC-адреса;

  • позволяет собирать активы в статические и динамические группы, которые автоматически адаптируются к изменениям в инфраструктуре.

  • помогает легко настраивать работу правил корреляции и отслеживать системы с необновленным ПО, одинаковыми уязвимостями, открытыми портами и другими признаками активов. 


Контроль полноты и качества сбора событий ИБ.

Мониторинг ИБ начинается с подключения источников. Чем больше подключено систем, тем лучше понимание происходящего в инфраструктуре и больше уверенности в том, что инцидент информационной безопасности не останется незамеченным. MaxPatrol SIEM покрывает 310 различных источников и содержит более 8000 правил нормализации «из коробки». Контролировать полноту подключения активов помогает технология детальной инвентаризации. А настройка мониторинга источников с учетом типичной активности (например, ночью событий меньше, чем днем) дает возможность оценить качество сбора событий ИБ.

MaxPatrol SIEM выявляет:

  • недоступность источника, 

  • аномалии в распределении потока событий, 

  • задержку в получении событий от источника.

Кроме того, встроенный в систему чек-лист помогает самостоятельно оценить правильность её настройки.
 

Единая точка мониторинга ИБ при высокой нагрузке.

Согласно обзору Anti-Malware.ru, критерием № 1 для российских компаний остается скорость работы и масштабируемость SIEM-системы. MaxPatrol SIEM стабилен в инфраструктурах любого размера и может обрабатывать более 540 000 событий в секунду (EPS) на одном ядре с подключением всех экспертных правил. Гибкая архитектура позволяет покрыть все удаленные филиалы, офисы, облачные ресурсы — и отслеживать состояние ИБ из одного окна.

 

Обнаружение сложных атак с помощью встроенной экспертизы и машинного обучения.

Для обеспечения информационной безопасности компании недостаточно собрать данные со всех доступных источников. Основная ценность SIEM-систем заключается в экспертном контенте, выявляющем инциденты ИБ. С помощью правил, включенных в состав системы, MaxPatrol SIEM обнаруживает любые попытки нарушить киберустойчивость компании. Система содержит около 900 правил корреляции и покрывает 70% всех техник из матрицы MITRE ATT&CK. С помощью ML-технологий система выявляет сложные целевые атаки, направленные на обход правил корреляции.

MaxPatrol SIEM позволяет:

  • создавать правила корреляции, в том числе с помощью конструктора;

  • настраивать правила корреляции под особенности инфраструктуры;

  • использовать автоматическую фильтрацию по белым спискам (whitelisting) для исключения ложных срабатываний.
     

Валидация инцидентов ИБ с помощью ML-помощника.

Чтобы избежать чрезмерного количества ложных срабатываний, зачастую используют белые списки. В то же время без дополнительного подтверждения вердикта повышается риск пропустить реальный инцидент. В MaxPatrol SIEM валидировать решение оператора по инциденту помогает ML-помощник BAD (Behavioral Anomaly Detection). Это система second opinion, повышающая эффективность обнаружения атак за счет альтернативного метода анализа событий и оценки достоверности каждой сработки по 100-балльной шкале. Сейчас BAD содержит около 30 моделей машинного обучения, на основе которых выявляются подозрительные события. Экспертные правила, также входящие в состав подсистемы, снижают риск получения некорректных результатов.

Ускоренное расследование инцидента и реагирование из единого окна. 

Часто требуется реагировать на инцидент незамедлительно. Например, остановить распространение шифровальщика, проникшего в один из сегментов сети. MaxPatrol SIEM, работая в связке с MaxPatrol EDR, помогает провести расследование инцидента ИБ и оперативно отреагировать на него. С помощью правил обогащения аналитик SOC может, не запрашивая дополнительных данных, подтвердить большинство инцидентов — и получить заранее неизвестные динамические данные, которые формируются в процессе развития атаки.

Пользователь MaxPatrol SIEM при валидации и расследовании инцидентов может:

  • пользователь MaxPatrol SIEM при валидации и расследовании инцидентов может обращаться к сторонним системам и сервисам из карточки событий

  • проверять трафик в PT NAD, файлы в PT Sandbox и реагировать на событие с помощью MaxPatrol EDR;

  • использовать в работе расширения, предложенные сообществом;

  • кастомизировать карточку события под свои запросы;

  • проверять гипотезы путем просмотра связанных корреляционных событий.

 

О компании Positive Technologies

Positive Technologies — лидер в области противодействия киберугрозам. Основные направления деятельности компании: изучение современных угроз безопасности и создание продуктов и сервисов для борьбы со взломом информационных систем.

Компания являемся ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Технологии Positive Technologies используют более 3300 организаций по всему миру.  Positive TechnologiesМы — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). У нас более 205 тысяч акционеров.

 




Выполняем весь комплекс работ по построению ИТ-инфраструктуры предприятий
Задать вопрос
Актуальные новости в нашем telegram
Присоединяйтесь, чтобы быть в курсе последних событий и получать ценную информацию для развития вашего бизнеса!
Подписаться