MaxPatrol SIEM 8.0: ML для поведенческого анализа, снижение аппаратных требований и обработка свыше 500 тыс. событий в секунду

Positive Technologies выпустила восьмую версию системы мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM. Обновленный продукт позволит почти на треть увеличить процент присутствия вендора среди компаний, которым требуются сверхбольшие инсталляции (крупнейший бизнес из списка RA600), и среди государственных организаций, перед которыми поставлены задачи использования технологий искусственного интеллекта.

В числе ключевых изменений — снижение требований к аппаратному обеспечению, повышение производительности системы до обработки свыше 540 тыс. событий в секунду, а также увеличение до шести раз объема либо сроков хранения данных благодаря использованию СУБД собственной разработки — LogSpace.

В новой версии MaxPatrol SIEM заметно снижены требования к аппаратным ресурсам: например, теперь для развертывания системы, которая обрабатывает до 5 тыс. событий в секунду, необходимо в два раза меньшее количество процессоров (vCPU) и вдвое меньший объем оперативной памяти, чем ранее. Это позволит компаниям сократить расходы на приобретение оборудования и облегчит установку системы. Это важные параметры, которые актуальны для всех отечественных компаний — из-за роста стоимости и сложностей при покупке нового оборудования.

Помимо этого, значительно повысилась производительность работы MaxPatrol SIEM: на одном ядре и с использованием всех экспертных правил обновленный продукт обрабатывает1 более 540 тыс. событий в секунду. Это достижение позволяет организовать мониторинг больших потоков событий без деградации качества детекта и без компромиссов при выборе пакетов экспертизы. Рост производительности позволяет обеспечивать результативную кибербезопасность для больших геораспределенных инфраструктур, которые объединяют сотни компонентов MaxPatrol SIEM в единую точку мониторинга.

В MaxPatrol SIEM 8.0 появился ML-модуль поведенческого анализа — Behavioral Anomaly Detection (BAD), который позволяет выявлять атаки злоумышленников с использованием тактик «Выполнение», «Управление и контроль», «Горизонтальное перемещение» по модели MITRE ATT&CK2 и подтверждать срабатывания соответствующих правил корреляции. ML-модуль снижает когнитивную нагрузку аналитика SIEM, позволяя быстрее и точнее принимать решения по инциденту информационной безопасности. BAD работает как система second opinion (второго мнения). В модуль встроено свыше 30 моделей машинного обучения, разработанных на основе двадцатилетнего опыта Positive Technologies в расследовании инцидентов. BAD собирает и анализирует данные о событиях, пользователях, процессах в контексте событий и присваивает им определенный уровень оценки риска (risk score).

«MaxPatrol SIEM — зрелый продукт, эффективно выявляющий попытки нарушения киберустойчивости компаний и инциденты ИБ, ведущие к реализации недопустимых событий в масштабе организаций, отраслей и стран. Экспертное наполнение MaxPatrol SIEM 8.0 и интеграция продукта с модулем обнаружения поведенческих аномалий позволяет обнаруживать как известные, так и плохо изученные атаки и аномалии. Мониторинг множества геораспределенных инсталляций в режиме одного окна позволяет аналитикам ИБ оперативно реагировать даже на такие угрозы», — комментирует Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies.

С версии 7.0 SIEM-система поддерживает хранилище событий LogSpace, специально разработанное Positive Technologies. В новом релизе за счет уменьшения размера событий ИБ, поступающих в MaxPatrol SIEM, удалось в шесть3 раз увеличить объем либо сроки хранения данных в LogSpace по сравнению с системами управления базами данных с открытым исходным кодом.

«Мы видим запрос рынка на снижение требований к мощности используемых процессоров, объему оперативной памяти, а также дисковому пространству, необходимому для хранения событий. Многократно возросло количество событий, которые клиенты хотят передавать в SIEM-систему по протоколу syslog. Кроме того, к нам обращается все больше компаний с крупной территориально распределенной инфраструктурой. В ответ на эти потребности наша команда разработки проделала комплексную работу по увеличению производительности MaxPatrol SIEM», — заявил Роман Сергеев, менеджер по развитию MaxPatrol SIEM, Positive Technologies.

Ряд улучшений в MaxPatrol SIEM направлен на повышение оперативности и удобства работы аналитиков ИБ при расследовании инцидентов. Новая карточка события ориентирована на поставку дополнительной связанной информации о событии из сторонних сервисов (как внутренних Positive Technologies, так и внешних) и на возможность анализировать связанные с инцидентом события без смены контекста. Данные из сторонних сервисов сгруппированы и представляются в MaxPatrol SIEM в рамках одного экрана — пользователю не нужно переключаться на другие окна и пролистывать экран. Таким образом, наличие контекстных фильтров, встроенной кросс-сервисной интеграции, обновленного поиска с помощью PDQL4-запросов и оптимизация UX позволяют оператору обрабатывать каждый киберинцидент без смены контекста до двух раз быстрее, чем в предыдущей версии продукта.

Чтобы упростить задачу по проверке гипотез, расширена интеграция с продуктами Positive Technologies и сторонними сервисами: из карточки событий теперь можно отправлять кросс-сервисные запросы в PT Network Attack Discovery, MaxPatrol EDR, RST Cloud, Whois7 и другие системы.

Кроме того, из карточки событий можно отправлять кросс-сервисные запросы в подсистему PT Threat Analyzer. Она помогает построить обнаружение и приоритизацию инцидентов на основании индикаторов компрометации — сведений о злоумышленниках и инструментарии, которые они используют для атак. PT Threat Analyzer собирает данные об угрозах из разных источников, включая сервис PT Threat Intelligence Feeds, а также другие коммерческие и открытые источники данных.

Для обновления до MaxPatrol SIEM 8.0 обратитесь к партнерам Positive Technologies или в техническую поддержку.

  1. Производительность MaxPatrol SIEM проверена с помощью нагрузочных тестирований, для которых специалисты Positive Technologies сэмулировали реальную инфраструктуру крупной компании из enterprise-сегмента с десятком филиалов и подали копию реального потока событий. Результаты получены при использовании полного набора экспертизы вендора (700 правил корреляции).
  2. База знаний с описанием тактик, техник и процедур атак злоумышленников.
  3. По результатам нагрузочных тестирований Positive Technologies.
  4. Positive Data Query Language, PDQL — язык, который разработан Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков в MaxPatrol SIEM.