MaxPatrol SIEM: на что способна система нового поколения для мониторинга киберугроз

Как известно, с 2022 года ситуация в сфере информационной безопасности на российском рынке претерпела серьезные изменения. Из-за ухода зарубежных компаний отечественные разработчики систем менеджмента событий ИБ (SIEM) получили новый импульс к развитию своих программных решений. В числе ярких представителей этой области — компания Positive Technologies. В продолжение нашего цикла обзоров её решений сегодня мы рассмотрим систему MaxPatrol SIEM, предназначенную для выявления киберугроз на ранней стадии.

Это решение, которое помогает собирать, хранить и анализировать информацию о событиях, происходящих в ИТ-системе организации. С его помощью можно следить за безопасностью всей инфраструктуры компании — будь то работа серверов, рабочих станций, приложений или сетевых устройств.

MaxPatrol SIEM — уникальное отечественное решение, которое вошло в двадцатку ведущих участников глобального рынка систем управления ИБ в 2021 году. Вендор уделяет много внимания улучшению интерфейса MaxPatrol SIEM, чтобы сделать работу аналитиков более удобной, а также работает над упрощением совместимости со сторонними системами.

Главное предназначение MaxPatrol SIEM — помощь в поиске инцидентов ИБ и управлении ими. Сразу после установки пользователям доступно более 500 разных источников данных, свыше 900 алгоритмов для анализа событий и более 8 тыс. правил для нормализации данных. Кроме того, программный продукт использует около 30 моделей машинного обучения для определения поведенческих отклонений в ИТ-инфраструктуре.

Лицензирование MaxPatrol SIEM предоставляется по подписке. Ее стоимость определяется в зависимости от количества обрабатываемых инцидентов, масштаба инфраструктуры. Программа внесена в реестр отечественного софта и сертифицирована российским ФСТЭК.

Система включает в себя отдельные модули, которые могут устанавливаться на одном или нескольких серверах. Такая гибкость позволяет ей расти вместе с ИТ-инфраструктурой компании.

В высокопроизводительных средах, где обрабатывается более 3 тыс. событий в секунду, MaxPatrol SIEM можно использовать в распределенной конфигурации. Это позволит системе эффективно справляться с большими объемами данных и гарантирует высокую скорость работы. Рассмотрим основные модули решения.

МР 10 Core

Ключевой модуль программы, ее командный сервер. Он централизованно сохраняет данные, контролирует работу компонентов, обеспечивает быструю реакцию на инциденты. Модуль также координирует действия подразделений при расследовании инцидентов и предоставляет веб-интерфейс для управления безопасностью организации.

MP SIEM Server

Компонент для обработки событий ИБ. Он автоматически создает записи об инцидентах, формирует список ИТ-активов на основе событий и связывает их между собой.

MP SIEM Events Storage

Программный модуль является центром хранения сведений о событиях, касающихся ИБ. Благодаря консолидированию записей об атаках, сбоях и нарушениях правил можно своевременно выявлять угрозы и предпринимать необходимые защитные меры.

MP 10 Collector

Компонент для всестороннего сканирования и сбора данных в ИТ-инфраструктуре. Его гибкая структура позволяет адаптироваться к любым условиям, выявлять открытые сервисы и проверять их на уязвимости. Модуль способен собирать подробную информацию о каждом сетевом активе.

MP NAD Sensor

Модуль предназначен для глубокого анализа сетевого трафика, охватывающий уровни L2–L7 сетевой модели OSI. Он позволяет получить детальную информацию о соединениях, проходящих через контролируемый сегмент сети. В MP NAD Sensor перехваченный трафик не записывается в память, а метаданные хранятся не более 24 часов.

Knowledge Base

Централизованная база знаний, которая служит хранилищем экспертизы для программных продуктов компании Positive Technologies. Она содержит обширные сведения, необходимые для обеспечения надежной защиты ИТ-систем.

PT Management and Configuration

Многофункциональный модуль обеспечивает управление учетными записями, правами доступа, иерархией продуктов и лицензиями, взаимодействует с Active Directory. Компонент журналирует все действия пользователей, а также осуществляет сбор, передачу телеметрических данных и многое другое.

PT Update and Configuration Service

Компонент обеспечивает проверку наличия, загрузку и обновление данных об угрозах информационной безопасности.

PT Cybsi Provider

Модуль предоставляет актуальные данные о сетевых угрозах кибербезопасности и признаках нарушения ИБ компании. Для работы используются специальные сервисы компаний «Лаборатория Касперского», Positive Technologies, Group-IB, платформы MISP Threat Sharing и системы PT CybSI. Компонент также поддерживает получение данных в формате STIX 2.0 по протоколу TAXII.

PT Retro Correlator

Компонент с помощью правил корреляции выполняет повторную проверку уже полученных событий. Его основной задачей является поиск связей между событиями, которые были пропущены при первичной проверке.

Behavioral Anomaly Detection

Компонент использует модели машинного обучения для выявления поведенческих отклонений в активности пользователей и ИТ-активов. Он получает данные о происшествиях, использует их для обучения ML-моделей, чтобы определять подозрительные происшествия в ИТ-инфраструктуре компании.

MP 10 Collector собирает данные о работе ИТ-активов в сети компании. Эти данные включают информацию о подключенных устройствах, существующих сетевых соединениях и событиях, происходящих с ними. Далее данные передаются в MP SIEM Server и MP 10 Core, где происходит их объединение, дополнение сведениями из других источников и анализ взаимосвязей. Проанализированные данные и детальная информация об устройствах и программах в сети сохраняются в компоненте MP 10 Core.

MP SIEM Server, в свою очередь, обрабатывает входящий поток событий, сортирует их по типу и важности, а затем анализирует, чтобы выявить подозрительную активность. Далее данные в сыром и в обработанном виде отправляются в хранилище MP SIEM Events Storage для дальнейшего использования.

Для доступа к системе можно воспользоваться веб-интерфейсом MP 10 Collector. С его помощью можно просматривать данные, создавать отчеты, отслеживать события.

MaxPatrol SIEM обладает широким спектром функций, помогающих повысить уровень защищенности любой организации.

Контроль над всеми устройствами и управление ими

Система MaxPatrol SIEM способна взять под контроль все информационные ресурсы и оборудование компании. Она инвентаризирует активы, создавая для каждого из них модель с подробными характеристиками. Кроме того, есть возможность добавлять устройства вручную, импортировать из файлов или других систем. При этом устаревшие активы легко удаляются в автоматическом или ручном режиме. Для удобства работы они могут группироваться по отделам или другим признакам.

Информация об ИТ-активах представлена в виде таблицы, где каждый столбец соответствует определенному атрибуту (например, название, тип, IP-адрес). Особую ценность представляет отображение топологии сети. MaxPatrol SIEM строит карту, вершинами графа являются активы сети, а ребрами — связи между ними. Карта обновляется в реальном времени, отражая все изменения. Так команда по ИБ постоянно будет знать о наличии ресурсов компании, где они находятся, как взаимодействуют друг с другом.

Получение данных

Для извлечения информации из ИТ-инфраструктуры организации MaxPatrol SIEM использует компонент MP 10 Collector, о котором говорилось ранее. Он обладает гибкой структурой и может выполнять различные операции по получению данных в зависимости от задействованных модулей. Их можно классифицировать по типу собираемых сведений.

Модули для инвентаризации отвечают за обнаружение активов и сбор детальных сведений об оборудовании.

Модули для пассивного сбора событий получают и обрабатывают данные, передаваемые разными источниками (системами и приложениями).

Модули для мониторинга источников активно отслеживают изменения в системах и приложениях, извлекая событийные данные непосредственно после их регистрации.

Наконец, модули для периодического получения событий регулярно извлекают события, сохраненные в журналах и других хранилищах данных.

Обработка событий

Система MaxPatrol SIEM предлагает комплексное решение для обработки происшествий, связанных с ИБ. Она собирает данные о событиях и фильтрует их, чтобы можно было выделить наиболее значимые из них.

На основе отфильтрованных сведений формируются инциденты, требующие дальнейшего рассмотрения и реагирования специалистов по ИБ. Система может представить события в различных форматах для удобства анализа. Чтобы гарантировать целостность данных, в MaxPatrol SIEM реализована функция связывания событий с соответствующими инцидентами.

Управление инцидентами

MaxPatrol SIEM выявляет инциденты, связанные с нарушением ИБ, и управляет ими. Система проводит сканирование ИТ-инфраструктуры, формирует модель ИТ-активов, самостоятельно обнаруживает инциденты безопасности. Работа с ними проходит в несколько этапов: выявление, приоритизация, анализ контекста и расследование с определением источников угроз и рекомендациями по их устранению.

Кроме того, MaxPatrol SIEM предоставляет возможность экспортировать инциденты, просматривать показатели эффективности работы с ними, динамику появления и скорость обработки. Благодаря этому организации могут своевременно выявлять и устранять угрозы, минимизируя риски и обеспечивая защиту данных.

Удобное отображение информации

Главная страница MaxPatrol SIEM предоставляет наглядные данные, полученные в ходе мониторинга ИБ. Здесь можно отслеживать состояние системы в тот или иной момент и управлять им.

Наглядные дашборды дают быстрый доступ к ключевым показателям: сведениям об активах, событиях и инцидентах. С их помощью можно не только просматривать предопределенные элементы, но и создавать собственные, подбирая для отображения наиболее актуальную информацию.

Широкие возможности по кастомизации позволяют адаптировать интерфейс под любые нужды, также можно создавать дашборды и виджеты, менять их названия, двигать и удалять.

Отчетность и экспорт

MaxPatrol SIEM помогает не только собирать и хранить большие объемы информации о безопасности, но и преобразовывать их в понятный и удобный для анализа формат (PDF, MHT, XLSX, DOCX и CSV).

Отчеты могут содержать информацию об активах, событиях, инцидентах, уязвимостях. Благодаря отчетности специалисты по ИБ смогут отслеживать закономерности и аномалии в работе системы. Кроме того, MaxPatrol SIEM позволяет экспортировать как отдельные записи (активы, события, инциденты), так и данные из таблиц и виджетов.

Создавать отчетную документацию можно вручную и с помощью шаблонов с предустановленными параметрами. Настройка автоматического экспорта по расписанию позволяет экономить время и всегда иметь под рукой актуальную информацию.

MaxPatrol SIEM занимает лидирующие позиции на отечественном рынке SIEM-систем. Программное решение успешно используется более чем в 500 компаниях различных отраслей, включая промышленность, транспорт, финансовый сектор, а также в госучреждениях.

Продукт регулярно обновляется с учетом новых знаний. Все они получены в ходе исследования многочисленных случаев кибератак и сетевых взломов, проведенных хакерами на территории России и стран СНГ. Благодаря активному сообществу пользователей в каталоге расширений доступны дополнительные модули для MaxPatrol SIEM, существенно упрощающие защиту ИБ.

Кроме того, развитие продукта происходит невероятно быстрыми темпами — несколько раз в год выпускаются новые версии программы, внедряются современные решения сложных задач.

Техническая поддержка, предоставляемая специалистами Positive Technologies, включает широкий спектр услуг, среди которых решение вопросов по использованию программы и ее функций, диагностирование и устранение сбоев, а также обновление программного обеспечения.

Владельцы MaxPatrol SIEM могут рассчитывать на пять лет гарантии технической поддержки оборудования, а софта — в течение срока действия лицензии. Техподдержка доступна на сайте support.ptsecurity.com. Здесь можно подавать и отслеживать запросы, узнавать новую информацию или использовать огромную базу знаний.

MaxPatrol SIEM — это достойная альтернатива зарубежным аналогам, обладающая высокой эффективностью и доступностью. Продукт располагает необходимым набором функций для отслеживания и анализа защищенности, что позволяет оперативно обнаруживать и предотвращать сетевые киберугрозы. В отличие от многих западных решений, система MaxPatrol SIEM не требует сложной настройки и может быть легко интегрирована с существующими средствами защиты. Это делает ее более привлекательной в глазах организаций, которые хотят построить надежную и эффективную систему информационной безопасности.

Выбираете систему мониторинга киберугроз для своего бизнеса или подыскиваете достойный аналог неподдерживаемого более решения зарубежного вендора? Наши эксперты подберут для вас оптимальное решение, исходя из ваших задач, специфики ИТ-инфраструктуры и бюджета! Обращайтесь!