MaxPatrol SIEM

MaxPatrol SIEM — это российское решение от Positive Technologies, разработанное для обнаружения инцидентов информационной безопасности, способных нарушить киберустойчивость ИТ-инфраструктуры.

  • Входит в Единый реестр российского программного обеспечения Минцифры и сертифицировано ФСТЭК России.

    • О решении MaxPatrol SIEM

      MaxPatrol SIEM

      Решение собирает, хранит и анализирует данные о событиях информационной безопасности, происходящих в корпоративной ИТ-инфраструктуре. Это даёт возможность осуществлять мониторинг уровня защищённости приложений, узлов и подразделений ИТ-инфраструктуры, а также всей инфраструктуры в целом.

      В состав решения входят программные компоненты, которые устанавливаются на одном или нескольких серверах. Такая архитектура позволяет решению масштабироваться и работать в компаниях независимо от их размера.

      Список компонентов в составе MaxPatrol SIEM:

      • MaxPatrol 10 Core,
      • MaxPatrol SIEM Server,
      • MaxPatrol SIEM Events Storage,
      • MaxPatrol 10 Collector,
      • MaxPatrol NAD Sensor,
      • Knowledge Base,
      • PT Management and Configuration,
      • PT Update and Configuration Service,
      • PT Cybsi Provider,
      • PT Retro Correlator.

      Ключевые особенности системы:

      • автоматическое пополнение системы новыми пакетами экспертизы и совершенствование уже загруженных правил;
      • встроенная система второго мнения (ML-помощник BAD), которая за счёт использования альтернативных методов оценки событий информационной безопасности повышает эффективность обнаружения кибервторжений;
      • решение поставляется «в коробке», легко и быстро разворачивается на стороне клиента и запускается в работу;
      • высокие адаптационные возможности к меняющимся реалиям в инфраструктуре;
      • группировка активов для более лёгкой настройки правил корреляции;
      • проверка подозрительных файлов, просмотр связанных событий и реагирование на инциденты выполняются легко, благодаря использованию карточек событий analyst experience;
      • мониторинг событий на корпоративном уровне Enterprise.

      Основные функциональные возможности решения:

      • сбор данных о сетевых узлах и их взаимосвязях;
      • сбор данных о событиях из таких источников, как программное обеспечение или аппаратные устройства;
      • использование таблиц и диаграмм для визуализации данных об инцидентах, событиях и активах (вся информация отображается в веб-интерфейсе);
      • организация проведения расследований инцидентов и ликвидация их негативных последствий;
      • ведение репутационных списков с актуальными данными об угрозах и вредоносных IP-адресах;
      • работа с активами в автоматизированном режиме;
      • проведение анализа событий информационной безопасности на основе специально разработанных правил;
      • ретроспективный анализ угроз;
      • использование оповещений операторов в случае появления каких-либо изменений в ИТ-инфраструктуре;
      • интеграция с PT NAD;
      • работа с крупными иерархическими инфраструктурами;
      • использование гибкого конструктора для создания собственных правил корреляции;
      • проверка гипотез через просмотр корреляционных событий.

      MaxPatrol SIEM в автоматическом режиме получает актуальные пакеты данных о киберугрозах. В них содержится информация о параметрах обработки и сбора событий информационной безопасности, а также правила и рекомендации по реагированию на них. Пакеты данных формируются из информации, получаемой из базы знаний Knowledge Base, которая регулярно обновляется специалистами компании Positive Technologies.

      Сценарии использования решения:

      • Применение технологии детальной инвентаризации для контроля изменений в ИТ-инфраструктуре и сбора данных. Это включает в себя создание карточки актива. В ней осуществляется журналирование состояния актива, а также заносятся данные об активе (признак виртуальности узла, его имя и тип операционной системы). Собираются активы в динамические и статические группы. Это даёт возможность гибкой настройки корреляции, а также более эффективного мониторинга систем с устаревшим программным обеспечением, открытыми портами и одинаковыми слабыми местами.
      • Подключение максимального количества источников событий информационной безопасности для наилучшего мониторинга происходящих событий в ИТ-инфраструктуре.
      • Единая точка мониторинга информационной безопасности в инфраструктурах с высокими нагрузками позволяет работать с офисами, филиалами и облачными ресурсами в режиме одного окна. Решение может обрабатывать на одном ядре со всеми экспертными правилами больше 540 000 событий каждую секунду.
      • Использование технологии машинного обучения и встроенной экспертизы для обнаружения сложных целенаправленных атак, которые могут действовать в обход правилам корреляции. Решение может создавать собственные правила корреляции, используя для этого конструктор, настраивать их в соответствии со спецификой ИТ-инфраструктуры, использовать белые списки для автоматической фильтрации ложных срабатываний.
      • Использование ML-помощника BAD для валидации инцидентов.
      • Реагирование на инцидент и срочное расследование из единого окна, благодаря совместной работе решения с продуктом защиты конечных точек MaxPatrol EDR. При этом используются правила обогащения политик для подтверждения большей части инцидентов без дополнительных запросов данных со стороны SOC. Также можно обращаться к системам сторонних вендоров для дополнительной помощи.

Спасибо за обращение!
Мы скоро с Вами свяжемся.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и рассчитаем стоимость выполнения