Дата публикации
26.10.2024
Время на чтение
2 мин.
Прочтений
61
Комментариев
0
Рейтинг
(0 )

MaxPatrol SIEM от компании Positive Technologies – система обнаружения инцидентов информационной безопасности (ИБ), с помощью которой можно собирать, хранить и анализировать данные о событиях и угрозах кибербезопасности. Она обеспечивает безопасность всей ИТ-инфраструктуры предприятия и локальной сети (серверов, рабочих станций, сетевого оборудования и приложений).

Продукт является основным российским SIEM-решением на рынке: он используется на более чем 250 ключевых предприятиях в области промышленности, транспорта, финансов и других отраслей.

Что это такое?

Термин SIEM (Security information and event management) совмещает два понятия: SIM (Security information management) – управление информацией о безопасности – и SEM (Security event management) – управление событиями безопасности. В совокупности образуемая система позволяет оценивать вероятность угроз в реальном времени и бороться с ними в автоматическом режиме (согласно установленным настройкам).

Кому нужна MaxPatrol SIEM?

Система будет полезна, если:

  • вам нужно быстро выявлять инциденты и предотвращать их появление;
  • на предприятии есть много разнородных средств защиты, но нет единого решения для мониторинга и управления;
  • нужно создать SOC или центр ГосСОПКА;
  • требуется наладить систему ИБ на объектах КИИ, ИСПДН и/или ГИС;
  • нужно установить новую SIEM-систему вместо другой, которая используется на предприятии.

Возможности и преимущества MaxPatrol SIEM

Основные возможности системы:

  • непрерывный мониторинг ИБ на предприятии – производится средствами проактивной защиты, которые работают в автоматическом режиме и не требуют постоянного контроля;
  • контроль изменений в IT-инфраструктуре (скачивание и установка новых версий ПО, других приложений, отчеты о новых интегрированных в систему единицах оборудования);
  • инвентаризация сетевых компонентов – для этого, кроме IP-адресов, сетевых имен, используются категории более высокого уровня – активы и их динамические группы;
  • определение подозрительных действий в локальной сети;
  • контроль несанкционированных действий с помощью средств Network Attack Discovery Sensor (анализирует трафик, собирает данные об IT-активах, определяет угрозы в режиме онлайн);
  • проверка установленных параметров по чек-листу и руководству, которое есть для каждого действия в системе;
  • контроль деятельности источников событий информационной безопасности;
  • работа с инцидентами в промышленных масштабах, контроль ИБ в массивных иерархических построениях;
  • анализ качества защиты на предприятии и эффективности работы систем ИБ;
  • использование дашбордов для отражения сводных данных о происшествиях, угрозах и общем состоянии сетевой инфраструктуры.

Преимущества MaxPatrol SIEM:

  • прозрачность всей IT-инфраструктуры и доступность данных об ИБ предприятия в любой момент благодаря постоянному контролю;
  • появление каждые два месяца обновлений с пожеланиями по действиям на угрозы, правилами корреляции, механизмами обогащения и так далее;
  • появление новых версий программы два раза в год, постоянное расширение функционала;
  • совместимость с другими российскими продуктами, в том числе с 1С и «Лабораторией Касперского»;
  • соответствие законам № 152-ФЗ, 161-ФЗ, 187-ФЗ, ГОСТ Р 57580.1-2017 и другим стандартам;
  • отправка пакетов экспертиз с актуальными и новыми способами обнаружения угроз из общей базы PT Knowledge Base в MaxPatrol SIEM в автоматическом режиме (обычно раз в месяц).

Архитектура MaxPatrol SIEM

Платформа состоит из набора модулей, которые располагаются на сервере. Система гибкая и может расширяться вместе с IT-инфраструктурой.

Перечислим эти модули:

  • МР 10 Core – основной компонент системы, ее управляющий центр;
  • MP SIEM Server – обрабатывает события информационной безопасности;
  • MP SIEM Events Storage – сохраняет все данные о событиях, которые относятся к информационной безопасности;
  • MP 10 Collector – сканирует и собирает данные;
  • MP NAD Sensor – проводит анализ сетевого трафика;
  • Knowledge Base – библиотека знаний, в ней хранятся все экспертизы;
  • PT Management and Configuration – используется для работы с учетными записями и лицензиями;
  • PT Update and Configuration Service – загружает и устанавливает обновления;
  • PT Cybsi Provider – собирает данные об угрозах и признаках вмешательства в ИБ предприятия;
  • PT Retro Correlator – повторно проверяет события, определяет связи, которые могли быть пропущены во время первой проверки;
  • Behavioral Anomaly Detection – определяет несоответствия в поведении пользователей, предотвращает возможные угрозы.

Как работает система?

MP 10 Collector концентрирует данные о деятельности ИТ-активов предприятия и отправляет их в MP SIEM Server и MP 10 Core. Затем производится анализ и сохранение в модуле MP 10 Core. А компонент MP SIEM Server выполняет обработку входящего потока событий, проводит анализ и определяет места возможных угроз. Далее собранные данные сохраняются в модуле MP SIEM Events Storage.

Что нового?

В версии MaxPatrol SIEM 2024 появились следующие обновления:

  • добавилось 70 правил обнаружения угроз кибербезопасности;
  • теперь есть совместимость с Netopia Firewall Compliance;
  • программа была включена в реестр российского ПО;
  • проведена интеграция с VK Cloud;
  • добавлены экспертизы для определения угроз во FreeIPA;
  • появилось 62 новых правила обнаружения киберугроз.

Это список только основных изменений и нововведений. Важно также отметить, что каждый год система пополняется набором новых возможностей, а также повышается ее совместимость с другими продуктами, особенно решениями российского производства.

Оцените материал!
Добавить комментарий
Рассказать друзьям:
Изучите SOLIDWORKS на веб-портале MySolidWorks

MySolidWorks — это веб-портал (https://my.solidworks.com), где можно найти обучающий материал и воспринять опыт всего сообщества SolidWorks, чтобы в дальнейшем оперативно и качественно создавать собственные проекты.

Сложно представить себе любого специалиста it-сферы, который сможет работать без компьютера и соответствующего софта. Качество выполнения обязанностей напрямую зависит от выбранных для работы программ. Хороший специалист всегда сам знает, какая программа лучше будет подходить для выполнения его обязанностей и задача руководителя предоставить специалисту все нужные программы.

Важно выбирать именно лицензионные программы, поскольку они имеют техническую поддержку от разработчиков и возможность своевременного обновления, что очень важно для правильного и своевременного выполнения всех поставленных задач.

Мы предлагаем самые необходимые программы, которые могут понадобиться в работе it-специалистам. Все представленные у нас программы лицензионные и имеют все необходимые подтверждения этого. Мы предлагаем удобные варианты оплаты, а при возникновении любых вопросов, вы можете проконсультироваться с нашими менеджерами.