Постоянная диагностика и противодействие

Новая версия MaxPatrol SIEM

30.04.2018
12:30

Компания Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0.

Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике.

Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Наборы правил и рекомендаций объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

Механизм был успешно протестирован на предыдущей версии системы, когда в нее были добавлены новые правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. На данный момент выход экспертных пакетов запланирован не реже одного раза в два месяца. Ожидается, что к концу 2018 года временной зазор между ними сократится до одного месяца. В отдельных случаях предусмотрен оперативный выпуск наборов правил вне графика: например, во время глобальных атак уровня WannaCry или NotPetya.

В MaxPatrol SIEM 4.0 усовершенствованы механизмы обогащения данных об активах — ключевых элементах модели IT-инфраструктуры в MaxPatrol SIEM. Теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8. Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика.

Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую IT-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.

Обновленная версия системы отличается расширенной функциональностью встроенного компонента Network Sensor, предназначенного для комплексного анализа трафика, в том числе передаваемых по сети файлов. Network Sensor получил собственную базу сигнатур3 для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся на основании проведенных командой PT Expert Security Center расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса. Благодаря этому пользователь MaxPatrol SIEM 4.0 получает возможность выявлять аномалии, вредоносную активность в сети и источники подозрительного трафика, предупреждать атаки.

Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы показателей и метрик эффективности. Специалистам по ИБ и ИТ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования.