MaxPatrol SIEM
Встроенный ML-помощник повышает эффективность обнаружения атак
Команда MaxPatrol SIEM, лидера на российском рынке SIEM, в 2025 году решила сфокусироваться на повышении стабильности системы и удобства работы. Главные результаты — рост производительности на 20%1, прорывной скачок в качестве детектирования киберугроз и повышение эффективности ML-модуля MaxPatrol BAD.
Сильная сторона MaxPatrol SIEM, о которой говорят пользователи продукта, — детектирование актуальных киберугроз. Достигается оно за счет повышения количества и качества правил, поставляемых экспертным центром безопасности Positive Technologies (PT ESC). С 2022 по 2025 год количество правил корреляции в продукте выросло в 3,5 раза — с 483 до 1687. Согласно информации, которую публикуют игроки рынка SIEM, MaxPatrol SIEM является мировым лидером2 по количеству правил корреляций, поставляемых «из коробки».
Работа большого числа экспертных правил зачастую требует повышенного потребления вычислительных ресурсов. Чтобы нивелировать этот эффект, команда MaxPatrol SIEM внесла кардинальные изменения в схему взаимодействия компонентов — коррелятора, нормализатора, подсистемы обогащения — между собой. Новые версии конвейера обработки событий эффективнее утилизируют ресурсы на одном и том же потоке за счет оптимизации работы внутренних сервисов и использования новых архитектурных подходов. В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3(8.5) и 27.4 (8.6) снизились требования к центральному процессору (CPU) до 20%.
Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность MaxPatrol SIEM при пульсации нагрузки, что было критически важно для многих клиентов. Оптимизация сглаживания потока и автоматическая адаптивная подстройка потребления аппаратных ресурсов под поток приводят к тому, что MaxPatrol SIEM может обрабатывать большее количество событий в секунду (events per second — EPS) на том же «железе».
1 Согласно данным внутренних тестов Positive Technologies, полученным для процессора на компоненте «SIEM-сервер» MaxPatrol SIEM 27.4 (8.6) в сравнении с MaxPatrol SIEM 27.2 (8.4), база данных LogSpace.
2 По оценке Positive Technologies, сделанной на основе публичной информации, размещенной на сайтах вендоров SIEM-систем.
«Количество и сложность экспертных правил в MaxPatrol SIEM продолжают расти, при этом продукт работает стабильнее при тех же аппаратных характеристиках. История развития MaxPatrol SIEM привела к тому, что нам необходимо изменить множество процессов в условиях архитектурной перестройки. То, что звучит просто на словах, по факту — результат колоссальной работы всей команды. И это только начало. Например, за год мы снизили в 4 раза количество открытых дефектов3. При этом мы остаемся на острие кибератак и повышаем возможности продукта по их детектированию, в этом нам помогает ML-модуль MaxPatrol BAD. Также мы ведем работу по созданию AI-помощника, содержащего функционал по написанию правил нормализации (XPertise). Мы прикладываем все усилия, чтобы сделать лучший SIEM на рынке, и в первую очередь мы благодарны клиентам, которые делятся с нами обратной связью».
Денис ЛобановРуководитель продукта MaxPatrol SIEM в Positive Technologies
Подробнее про экспертизу MaxPatrol SIEM. Помимо роста количества правил корреляций, изменился и сам подход написания экспертизы: контента в карточке события стало больше, а уровень детектирования актуальных киберугроз стал выше. Продолжает увеличиваться покрытие техник из матрицы MITRE ATT&CK. Сейчас MaxPatrol SIEM детектирует 100% популярного хакерского инструментария, который используют APT-группировки и хактивисты4. Этого удалось достичь благодаря актуальной информации из проектов, которые проводят команды Incident Response и Red Team Positive Technologies. Эксперты расследуют кибератаки, анализируют новые инструменты злоумышленников. Вся информация находит отражение в MaxPatrol SIEM, который обогащается за счет ежедневной работы экспертного центра безопасности Positive Technologies. Благодаря тому, что PT ESC обнаруживает уязвимости нулевого дня и согласно принципам ответственного разглашения помогает вендорам их устранять, MaxPatrol SIEM детектирует опасные для российских компаний угрозы, которые не могут быстрее Positive Technologies обнаружить другие вендоры. Например, в августе 2025 года эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server. Эксплуатация цепочки обнаруженных недостатков могла привести к полной компрометации серверов видео-конференц-связи. MaxPatrol SIEM обнаруживает эти уязвимости с помощью правил, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows.
Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур.
По итогам всех нововведений повысилось удобство работы с продуктом, а также сократилась скорость реакции на киберинцидент. Сейчас аналитик SOC для расследования может использовать лишь информацию из карточки события в интерфейсе MaxPatrol SIEM, не обращаясь к внешним источникам. Новые экспертные правила поставляются в систему раз в две недели, для трендовых уязвимостей — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц.
3 Количество открытых дефектов на 30 сентября 2025 года по сравнению с 31 октября 2024 года.
4 По данным Positive Technologies (команда Incident Response).
«MaxPatrol SIEM видит все перемещения хакера в инфраструктуре: горизонтальное передвижение, разведку, захват домена, запуск шифровальщиков, эксплуатацию уязвимостей, фишинговые рассылки, повышение привилегий — каждый шаг. Продукту требуется минимум времени (до 10 минут), чтобы уведомить аналитика SOC о подозрительной активности. При условии, что аналитик вовремя среагирует на сработку в продукте, он может за считаные минуты заблокировать действия хакера и остановить кибератаку».
Кирилл КирьяновРуководитель экспертизы MaxPatrol SIEM в Positive Technologies
Получить всю информацию о MaxPatrol SIEM, а также оставить заявку на пилотный проект можно на странице продукта.
Может быть интересно
Обновленный MaxPatrol Carbon: рост результативности в проактивном управлении киберугрозами
Обновленный MaxPatrol Carbon: рост результативности в проактивном управлении киберугрозами
Rambler&Co выбрал PT NGFW для защиты корпоративной сети
Rambler&Co выбрал PT NGFW для защиты корпоративной сети
Positive Technologies: геополитическая напряженность изменила ландшафт киберугроз Ирана