MaxPatrol SIEM
Инновационное решение класса SIEM для управления событиями и информацией ИБ с целью выявления инцидентов в режиме реального времени. MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации. MaxPatrol SIEM - ключевой элемент новой платформы средств безопасности Positive Technologies, в основе которой лежит построение полной модели инфраструктуры, сбор и анализ всей доступной информации об активах и событиях.
Преимущества
  • Понимание инфраструктуры и стойкость правил корреляции к изменениям

Изменения IT-инфраструктуры автоматически отображаются в модели инфраструктуры и учитываются в работе корреляционных правил, не требуя трудоемкой ручной перенастройки.

  • Динамические группы активов

MaxPatrol SIEM предлагает полноценный функционал систем управления активами (Asset Management). Это позволяет создавать и автоматически обновлять группы активов по организационным, территориальным и функциональным признакам.

  • Подключение актуальных источников

В ходе реализации проектов компания Positive Technologies обеспечивает подключение актуальных источников данных без дополнительных затрат.

  • Приоритизация с учетом важности актива

Платформа MaxPatrol использует общепризнанный стандарт CVSS и позволяет приоритезировать активы, динамические группы активов, события и уязвимости и присвоить им стандартизированные метрики в рамках единой платформы.

  • Открытый API для быстрой интеграции

MaxPatrol SIEM предлагает открытый стандартизированный API, предназначенный для загрузки или выгрузки информации на любом этапе работы системы. Это позволяет быстро решить ряд практических задач: выполнить интеграцию с SMS-шлюзом, корпоративным порталом, самописными приложениями и т.д.

  • Развитая функциональность сбора данных

В SIEM-систему включена широкая функциональность удаленного безагентного сбора данных с поддержкой основных видов транспорта. Помимо этого, используются дополнительные агенты для анализа сетевой активности и сбора низкоуровневой информации с конечных точек.

  • Быстрая миграция

Благодаря поддержке Positive Technologies и заложенным в продукте техническим инновациям миграция с других решений осуществляется быстро и безболезненно для бизнес-процессов компании.

  • Гибкость платформы

Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает требованиям заказчика и не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.

  • Российское решение мирового класса

Решения Positive Technologies целиком спроектированы в России, с учетом специфики решаемых задач и требований регуляторов. В основе продукта лежит уникальная база знаний, накопленная за годы проведения масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения знаковых мероприятий, таких как Универсиада в Казани и Олимпийские игры в Сочи.

Аспекты применения традиционных SIEM в современном мире

В последние годы компании все чаще страдают от целенаправленных кибератак, целью которых является кража денежных средств или конфиденциальной информации, нарушение бизнес-процессов. Несмотря на широкое распространение разнообразных решений для информационной безопасности, среднее время обнаружения вторжения по-прежнему составляет недопустимые 188 дней (согласно 2015 Trustwave Global Security Report). Также увеличивается и относительный разрыв между временем обнаружения атаки и временем, требуемым на компрометацию инфраструктуры (согласно Verizon 2016 Data Breach Investigation Report). Ключевое средство выявления сложных атак и инцидентов ИБ — решения класса Security Information and Event Management (SIEM).

На практике эффективность работы SIEM-систем оказывается низкой и их использование многими компаниями не меняет тяжелую ситуацию с качеством и временем выявления инцидентов ИБ.

Основные причины низкой эффективности традиционных SIEM-систем:

  • Сложность внедрения и большие трудозатраты при эксплуатации. При внедрении сложно оценить трудоемкость и сроки окончания работ по интеграции системы с инфраструктурой заказчика и настройки механизмов выявления инцидентов ИБ. Трудоемкий процесс поддержания работоспособности SIEM и учета новых угроз продолжается и в ходе эксплуатации системы.
  • Отсутствие автоматизированной передачи экспертизы ИБ в продукт. Даже если производитель SIEM-системы имеет знания о новых угрозах и сценариях атак, он может поделиться ими только в ручном режиме — через специализированные форумы или рассылку бюллетеней.
  • Большое запаздывание в учете изменений инфраструктуры. Каждый день в IT-инфраструктурах крупных компаний происходят конфигурационные изменения, но существующие средства ИБ адаптируются к изменениям с большой задержкой, так как процесс учета этих изменений слабо автоматизирован.
MaxPatrol SIEM

Функции и особенности MaxPatrol SIEM

При создании SIEM-системы и новой платформы MaxPatrol компания Positive Technologies учла недостатки существующих систем и применила новые подходы для эффективного выявления инцидентов ИБ. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями — активами и динамическими группами активов.

Информация о состоянии актива

В MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PTKB). Это высокоуровневый, постоянно пополняемый набор данных, формируемый на основе 15-летнего опыта исследовательского центра, в том числе опыта тестов на проникновение и проведения аудитов защищенности. MaxPatrol SIEM является неотъемлемой частью новой комплексной платформы MaxPatrol, обладающей изначальным пониманием природы угроз и уязвимостей и позволяющей заменить множество ИБ-решений (системы управления активами, уязвимостями, соответствия стандартам и др.). Все элементы MaxPatrol SIEM разработаны Positive Technologies как часть новой платформы MaxPatrol и используют единые принципы сбора и учета информации.

На основании полной модели инфраструктуры выполняется автоматическое построение топологии сети. Это позволяет лучше понимать защищаемую инфраструктуру и потенциальную достижимость атак, упрощает расследование инцидентов.

Топология сети и достижимость

MaxPatrol SIEM использует специальный механизм для извлечения идентификаторов источника информации из трафика, событий или сканирований и их сопоставления с существующими активами. Таким образом, вся имеющаяся информация — конфигурация сетевого узла и его настройки, установленное ПО, сетевая активность, логи — унифицируется и выстраивается вокруг каждого из активов. После поступления в систему информация вначале проводится через модель инфраструктуры и привязывается к соответствующим активам и лишь после этого сохраняется в базе данных и попадает под действие правил корреляции. Благодаря этому изменение IP-адреса или имени актива не приведет к дублированию сущностей и появлению в системе нового актива.

Сбор, анализ и мониторинг событий для эффективного выявления инцидентов

Этап 1. Информация поступает в систему и проходит нормализацию.

Этап 2. Проводится через ядро и модель инфраструктуры для привязки к существующим активам.

Этап 3. Сопоставляется с данными базы знаний Positive Technologies Knowledge Base (PTKB).

Этап 4. Проводится через коррелятор с учетом всех данных, полученных на предыдущих этапах.

Архитектура MaxPatrol SIEM

Остались вопросы?
Воспользуйтесь формой обратной связи:
Имя и Фамилия
Электронная почта
Комментарий
Ваш вопрос отправлен!

Наши специалисты свяжутся с вами в ближайшее время.

Закрыть
Документация по продукту
Лицензии и сертификаты
Вебинары
Новости продукта
Исследования