MaxPatrol SIEM от компании Positive Technologies – система обнаружения инцидентов информационной безопасности (ИБ), с помощью которой можно собирать, хранить и анализировать данные о событиях и угрозах кибербезопасности. Она обеспечивает безопасность всей ИТ-инфраструктуры предприятия и локальной сети (серверов, рабочих станций, сетевого оборудования и приложений).
Продукт является основным российским SIEM-решением на рынке: он используется на более чем 250 ключевых предприятиях в области промышленности, транспорта, финансов и других отраслей.
Что это такое?
Термин SIEM (Security information and event management) совмещает два понятия: SIM (Security information management) – управление информацией о безопасности – и SEM (Security event management) – управление событиями безопасности. В совокупности образуемая система позволяет оценивать вероятность угроз в реальном времени и бороться с ними в автоматическом режиме (согласно установленным настройкам).
Кому нужна MaxPatrol SIEM?
Система будет полезна, если:
- вам нужно быстро выявлять инциденты и предотвращать их появление;
- на предприятии есть много разнородных средств защиты, но нет единого решения для мониторинга и управления;
- нужно создать SOC или центр ГосСОПКА;
- требуется наладить систему ИБ на объектах КИИ, ИСПДН и/или ГИС;
- нужно установить новую SIEM-систему вместо другой, которая используется на предприятии.
Возможности и преимущества MaxPatrol SIEM
Основные возможности системы:
- непрерывный мониторинг ИБ на предприятии – производится средствами проактивной защиты, которые работают в автоматическом режиме и не требуют постоянного контроля;
- контроль изменений в IT-инфраструктуре (скачивание и установка новых версий ПО, других приложений, отчеты о новых интегрированных в систему единицах оборудования);
- инвентаризация сетевых компонентов – для этого, кроме IP-адресов, сетевых имен, используются категории более высокого уровня – активы и их динамические группы;
- определение подозрительных действий в локальной сети;
- контроль несанкционированных действий с помощью средств Network Attack Discovery Sensor (анализирует трафик, собирает данные об IT-активах, определяет угрозы в режиме онлайн);
- проверка установленных параметров по чек-листу и руководству, которое есть для каждого действия в системе;
- контроль деятельности источников событий информационной безопасности;
- работа с инцидентами в промышленных масштабах, контроль ИБ в массивных иерархических построениях;
- анализ качества защиты на предприятии и эффективности работы систем ИБ;
- использование дашбордов для отражения сводных данных о происшествиях, угрозах и общем состоянии сетевой инфраструктуры.
Преимущества MaxPatrol SIEM:
- прозрачность всей IT-инфраструктуры и доступность данных об ИБ предприятия в любой момент благодаря постоянному контролю;
- появление каждые два месяца обновлений с пожеланиями по действиям на угрозы, правилами корреляции, механизмами обогащения и так далее;
- появление новых версий программы два раза в год, постоянное расширение функционала;
- совместимость с другими российскими продуктами, в том числе с 1С и «Лабораторией Касперского»;
- соответствие законам № 152-ФЗ, 161-ФЗ, 187-ФЗ, ГОСТ Р 57580.1-2017 и другим стандартам;
- отправка пакетов экспертиз с актуальными и новыми способами обнаружения угроз из общей базы PT Knowledge Base в MaxPatrol SIEM в автоматическом режиме (обычно раз в месяц).
Архитектура MaxPatrol SIEM
Платформа состоит из набора модулей, которые располагаются на сервере. Система гибкая и может расширяться вместе с IT-инфраструктурой.
Перечислим эти модули:
- МР 10 Core – основной компонент системы, ее управляющий центр;
- MP SIEM Server – обрабатывает события информационной безопасности;
- MP SIEM Events Storage – сохраняет все данные о событиях, которые относятся к информационной безопасности;
- MP 10 Collector – сканирует и собирает данные;
- MP NAD Sensor – проводит анализ сетевого трафика;
- Knowledge Base – библиотека знаний, в ней хранятся все экспертизы;
- PT Management and Configuration – используется для работы с учетными записями и лицензиями;
- PT Update and Configuration Service – загружает и устанавливает обновления;
- PT Cybsi Provider – собирает данные об угрозах и признаках вмешательства в ИБ предприятия;
- PT Retro Correlator – повторно проверяет события, определяет связи, которые могли быть пропущены во время первой проверки;
- Behavioral Anomaly Detection – определяет несоответствия в поведении пользователей, предотвращает возможные угрозы.
Как работает система?
MP 10 Collector концентрирует данные о деятельности ИТ-активов предприятия и отправляет их в MP SIEM Server и MP 10 Core. Затем производится анализ и сохранение в модуле MP 10 Core. А компонент MP SIEM Server выполняет обработку входящего потока событий, проводит анализ и определяет места возможных угроз. Далее собранные данные сохраняются в модуле MP SIEM Events Storage.
Что нового?
В версии MaxPatrol SIEM 2024 появились следующие обновления:
- добавилось 70 правил обнаружения угроз кибербезопасности;
- теперь есть совместимость с Netopia Firewall Compliance;
- программа была включена в реестр российского ПО;
- проведена интеграция с VK Cloud;
- добавлены экспертизы для определения угроз во FreeIPA;
- появилось 62 новых правила обнаружения киберугроз.
Это список только основных изменений и нововведений. Важно также отметить, что каждый год система пополняется набором новых возможностей, а также повышается ее совместимость с другими продуктами, особенно решениями российского производства.