Заказать услугу

IT-Безопасность

MaxPatrol SIEM

Created with Sketch. Выявление инцидентов в режиме онлайн

MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации.

1

1

Закажите пилотный проект. По результатам получите отчет об уязвимостях и рекомендации по их устранению.

MaxPatrol SIEM - ключевой элемент новой платформы средств безопасности Positive Technologies, в основе которой лежит построение полной модели инфраструктуры, сбор и анализ всей доступной информации об активах и событиях.

Функции и особенности MaxPatrol SIEM:

При создании SIEM-системы и новой платформы MaxPatrol компания Positive Technologies учла недостатки существующих систем и применила новые подходы для эффективного выявления инцидентов ИБ. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями — активами и динамическими группами активов.

MaxPatrol SIEM использует специальный механизм для извлечения идентификаторов источника информации из трафика, событий или сканирований и их сопоставления с существующими активами. Таким образом, вся имеющаяся информация — конфигурация сетевого узла и его настройки, установленное ПО, сетевая активность, логи — унифицируется и выстраивается вокруг каждого из активов. После поступления в систему информация вначале проводится через модель инфраструктуры и привязывается к соответствующим активам и лишь после этого сохраняется в базе данных и попадает под действие правил корреляции. Благодаря этому изменение IP-адреса или имени актива не приведет к дублированию сущностей и появлению в системе нового актива.

Информация о состоянии актива:

Преимущества:

1. Понимание инфраструктуры и стойкость правил корреляции к изменениям

  • Изменения IT-инфраструктуры автоматически отображаются в модели инфраструктуры и учитываются в работе корреляционных правил, не требуя трудоемкой ручной перенастройки.

2. Динамические группы активов

  • MaxPatrol SIEM предлагает полноценный функционал систем управления активами (Asset Management). Это позволяет создавать и автоматически обновлять группы активов по организационным, территориальным и функциональным признакам.

3. Подключение актуальных источников

  • В ходе реализации проектов компания Positive Technologies обеспечивает подключение актуальных источников данных без дополнительных затрат.

4. Приоритизация с учетом важности актива

  • Платформа MaxPatrol использует общепризнанный стандарт CVSS и позволяет приоритезировать активы, динамические группы активов, события и уязвимости и присвоить им стандартизированные метрики в рамках единой платформы.

5. Открытый API для быстрой интеграции

  • MaxPatrol SIEM предлагает открытый стандартизированный API, предназначенный для загрузки или выгрузки информации на любом этапе работы системы. Это позволяет быстро решить ряд практических задач: выполнить интеграцию с SMS-шлюзом, корпоративным порталом, самописными приложениями и т.д.

6. Развитая функциональность сбора данных

  • В SIEM-систему включена широкая функциональность удаленного безагентного сбора данных с поддержкой основных видов транспорта. Помимо этого, используются дополнительные агенты для анализа сетевой активности и сбора низкоуровневой информации с конечных точек.

7. Быстрая миграция

  • Благодаря поддержке Positive Technologies и заложенным в продукте техническим инновациям миграция с других решений осуществляется быстро и безболезненно для бизнес-процессов компании.

8. Гибкость платформы

  • Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает требованиям заказчика и не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.

9. Российское решение мирового класса

  • Решения Positive Technologies целиком спроектированы в России, с учетом специфики решаемых задач и требований регуляторов. В основе продукта лежит уникальная база знаний, накопленная за годы проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения знаковых мероприятий, таких как Универсиада в Казани и Олимпийские игры в Сочи.


Архитектура MaxPatrol SIEM:

Сбор, анализ и мониторинг событий для эффективного выявления инцидентов:

Этап 1 - Информация поступает в систему и проходит нормализацию.

Этап 2 - Проводится через ядро и модель инфраструктуры для привязки к существующим активам.

Этап 3 - Сопоставляется с данными базы знаний Positive Technologies Knowledge Base (PTKB).

Этап 4 - Проводится через коррелятор с учетом всех данных, полученных на предыдущих этапах.