MaxPatrol SIEM выявляет попытки закрепления хакеров в Linux-системах

В MaxPatrol SIEM новый пакет экспертизы для пользователей ОС Linux. Он выявляет подозрительные изменения системных объектов на активах с такими ОС. Это помогает обнаружить действия атакующего, который уже проник в сеть и пытается там закрепиться.

Подробнее

Обзор продукта

MaxPatrol SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности. Он постоянно пополняется знаниями экспертов Positive Technologies о способах детектирования актуальных угроз и адаптируется к изменениям в защищаемой сети.


Выявляет самые актуальные угрозы
Знания наших экспертов о способах обнаружения новых угроз регулярно передаются в единую базу знаний PT Knowledge Base в виде пакетов экспертизы.
MaxPatrol SIEM автоматически получает знания из PT KB, что помогает пользователям детектировать актуальные техники и тактики атак до наступления серьезных последствий.
Снижает трудозатраты экспертов в компании
В основе пакетов экспертизы — непрерывный мониторинг новых угроз, изучение атак и расследование сложных инцидентов. Это снижает потребность ваших специалистов по ИБ в мониторинге актуальных атак и написании собственных правил. Правила в составе пакетов экспертизы не требуют трудоемкой адаптации и готовы к работе сразу после простой настройки.
Дает полную видимость инфраструктуры
Технология детальной инвентаризации, созданная на базе системы MaxPatrol 8, дает MaxPatrol SIEM подробную информацию о каждом активе и уязвимых местах, показывая оператору ИБ, что происходит в инфраструктуре. Сведения собираются более чем с 300 систем — активно и пассивно.

Как организована удаленная работа в компаниях

776 специалистов по IT и ИБ рассказали, как изменилась инфраструктура в их компаниях в связи с переходом на удаленную работу. Как много сотрудников работают с домашних устройств, какое самое популярное ПО для организации удалёнки, что чаще всего выводят на периметр — все это в отчете по итогам опроса.

Читать отчет

Лидирующее российское решение

Продукт внедрен более чем в 200 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти. Согласно исследованию IDC, MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM.

Свежие знания в MaxPatrol SIEM

Специалисты PT Expert Security Center и R&D-подразделений Positive Technologies постоянно исследуют новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Пакеты содержат новые правила, обновления параметров сбора и обработки событий ИБ, рекомендации по реагированию, репутационные списки. Пакеты автоматически передаются в MaxPatrol SIEM, благодаря чему пользователи выявляют актуальные угрозы до наступления серьезных последствий.

Правила корреляции в составе пакетов экспертизы легко адаптировать к особенностям вашей инфраструктуры. Для этого мы готовим подробные инструкции и белые списки, часть которых предзаполнены на основе нашего опыта работы с реальными инфраструктурами.

Примеры пакетов экспертизы: обнаружение продвинутых атак на Active Directory, аномалий в активности пользователей, атак с тактиками по модели MITRE ATT&CK, аномалий при удаленной работе.

Свежие знания в MaxPatrol SIEM

Видит действия злоумышленников в трафике

Компонент Network Attack Discovery Sensor дает полную видимость того, что происходит в сети. Он глубоко разбирает сетевой трафик, пассивно собирает данные об IT-активах и выявляет атаки. Если злоумышленники пытаются расширить присутствие в инфраструктуре, украсть данные, проэксплуатировать уязвимости, применить хакерские инструменты, связаться с командным центром — вы узнаете об этом в режиме реального времени.

Ключевые возможности

Отслеживайте общее состояние ИБ в организации
Отслеживайте общее состояние ИБ в организации
Для оперативного мониторинга состояния ИБ в организации на дашбордах отображается сводная информация о событиях, инцидентах, уязвимостях активов в инфраструктуре, срабатывании правил. Пользователи могут собирать дашборды под отдельные задачи — выбрать подходящие виджеты более чем из 20 предустановленных или создать собственные.
Получите полную видимость IT-инфраструктуры
Получите полную видимость IT-инфраструктуры
MaxPatrol SIEM собирает данные обо всех элементах инфраструктуры, подключенных к сети, то есть IT-активах. Благодаря технологии детальной инвентаризации MaxPatrol SIEM имеет подробную информацию о каждом активе на любой момент времени: знает об установленном ПО, событиях ИБ, уязвимостях, о конфигурации, топологии. Сведения собираются и активно, и пассивно.
Устанавливайте новые способы выявления угроз в два клика
Каждый пакет экспертизы сопровождает подробное описание, доступное прямо из интерфейса: какие правила в составе, как настроить источники событий, как правильно реагировать на инцидент. Установить пакет на свою инсталляцию можно в два клика.
Ищите атаки в прошлом
В MaxPatrol SIEM возможно проводить ретроспективный анализ двумя способами: по индикаторам компрометации и по правилам корреляции. После установки правил корреляции или загрузки новых индикаторов, можно еще раз «проиграть» поток поступивших ранее событий и применить к ним новые знания.
Отслеживайте состояние ИБ в крупных инфраструктурах
Отслеживайте состояние ИБ в крупных инфраструктурах
Пользователи MaxPatrol SIEM в организациях с крупной иерархической инфраструктурой могут отслеживать состояние ИБ и выявлять распределенные атаки на отдельное подразделение или на предприятие в целом. С помощью панели инструментов оператор создает площадки с развернутой конфигурацией MaxPatrol SIEM, располагает их в иерархию и настраивает передачу данных в режиме реального времени.
Правила для выявления инцидентов — за несколько кликов
Правила для выявления инцидентов — за несколько кликов
Чтобы создать собственные правила корреляции, пользователю MaxPatrol SIEM не нужно осваивать язык написания правил, достаточно воспользоваться специальным конструктором. С его помощью вы можете выбрать необходимые события, настроить их последовательность и задать условия для срабатывания правила — шаг за шагом.
Контролируйте работу источников данных
Контролируйте работу источников данных
MaxPatrol SIEM позволяет гибко настроить мониторинг источников с учетом их типичной активности (например, ночью меньше событий, чем днем). Если источник недоступен, обнаружены аномалии в потоке событий или задержки в получении данных, оператор системы получает уведомление, чтобы вовремя среагировать.
Оценивайте реализуемость атак
Оценивайте реализуемость атак
На основании модели IT-инфраструктуры система автоматически строит и обновляет топологию сети. Благодаря ей оператор системы лучше понимает защищаемую инфраструктуру, проверяет доступность активов по портам, оценивает реализуемость атак и расследует инциденты.
Оценивайте общий уровень защищенности
Оценивайте общий уровень защищенности
Специальный модуль PT Security Intelligence Portal помогает оценить общий уровень защищенности организации с территориально распределенной инфраструктурой, выявить проблемы и понять их причины.

Проверяет файлы на вирусные угрозы

Компонент M-Scan проводит многоуровневую проверку файлов, объединив нашу экспертизу и опыт лучших производителей антивирусов, и выявляет вирусные угрозы. Он анализирует файлы в трафике, защищает электронную почту и проверяет файловые хранилища.

Преимущества

Регулярно получает экспертизу для обнаружения атак
Регулярно получает экспертизу для обнаружения атак
Не реже раза в месяц MaxPatrol SIEM пополняется пакетам экспертизы с новыми правилами корреляции, индикаторами компрометации и плейбуками.
Знает наиболее актуальные для России угрозы
Знает наиболее актуальные для России угрозы
Экспертиза в продукте — это результат наших расследований сложных инцидентов, изучения новых угроз и методов взлома российских компаний, а также мониторинга деятельности всех основных хакерских группировок на территории России и СНГ.
Учитывает изменения в инфраструктуре
Учитывает изменения
в инфраструктуре
Продукт точно идентифицирует IT-активы даже в постоянно меняющемся сетевом ландшафте и адаптирует группы активов к изменениям. Это помогает легко настраивать работу правил корреляции, постоянно отслеживать рабочие системы с необновленным ПО или одинаковыми уязвимостями.
Быстро развивается
Быстро
развивается
Выпускаем два релиза в год, регулярно внедряем новые технологии и постоянно расширяем команду разработки продукта.
Поддерживает отечественные системы
Поддерживает отечественные
системы
MaxPatrol SIEM умеет собирать сведения более чем с 300 систем, в том числе популярных систем российских вендоров — «1С», «Лаборатории Касперского», InfoWatch, «Кода безопасности».
Имеет оптимальную модель лицензирования
Имеет оптимальную модель лицензирования
MaxPatrol SIEM лицензируется по числу активов, а не по потоку событий, поэтому его стоимость не зависит от количества событий в секунду и объема получаемых данных от источников.

Выполняет требования законодательства

MaxPatrol SIEM помогает соответствовать требованиям законов № 152-ФЗ, 161-ФЗ, приказов ФСТЭК № 21, 17 и 31, СТО БР ИББС и РС БР ИББС-2.5-2014, международного стандарта PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.

Отзывы

Алексей Щербаков
Заместитель генерального директора ПАО «ГТЛК»
Читать историю успеха

«Успешное внедрение системы MaxPatrol SIEM создало дополнительный механизм для эффективного управления процессом обеспечения информационной безопасности, что показывает качественный подход к обеспечению поставленных задач».

Сергей Горчаков
Директор по информационной безопасности «Таможенной карты»
Читать историю успеха

«MaxPatrol SIEM All-in-One — это быстрый способ получить работающую SIEM-систему. За три месяца с помощью консультаций специалистов Positive Technologies нам самостоятельно удалось внедрить систему и настроить необходимые источники. Благодаря этому мы получили подробную картину IT-инфраструктуры и отслеживаем инциденты ИБ».

Артур Усманов
Директор ГКУ ТО «ЦИТТО»
Читать отзыв

«MaxPatrol SIEM используется в ГКУ ТО «ЦИТТО» для решения важных задач ИБ. С помощью вашего продукта решаются задачи по централизованному сбору событий информационной безопасности с большого количества источников, основными из которых являются средства защиты информации, применяемые в рамках всей централизованной инфраструктуры правительства Тюменской области».

Денис Рычков
Начальник отдела технической защиты информации управления по безопасности ГАУ РК «ЦИТ»
Читать историю успеха

«Для нас обеспечение информационной безопасности значимых для Республики Коми информационных систем и оперативное реагирование на киберугрозы — задачи номер один. Внедрение MaxPatrol SIEM позволило нам в кратчайшие сроки создать эффективную систему выявления инцидентов и уже за первую неделю эксплуатации выявить и предотвратить серьезные угрозы».

Материалы

Описание продукта

Краткое описание модуля PT Security Intelligence Portal
Краткое описание продукта
Краткое описание комплекса MaxPatrol SIEM All-In-One

Лицензии и сертификаты

Сертификат соответствия КСС № 1452620 Республики Казахстан
Сертификат соответствия №0149719 Республики Беларусь
Сертификат соответствия ФСТЭК России

Истории успеха

История успеха — ПАО «ГТЛК»
История успеха — «Таможенная карта»
История успеха — Транспортная дирекция чемпионата мира по футболу
История успеха — «Центр информационных технологий»
Отзыв — ГКУ ТО «ЦИТТО»

Исследования

Трудозатраты специалистов по ИБ на работу c SIEM-системами
Исследование IDC: рынок SIEM в России

Видео

Дети о MaxPatrol SIEM
Дети о MaxPatrol SIEM
MaxPatrol SIEM: обзор пакета экспертизы для безопасной удаленной работы
Как выявлять сетевые аномалии при удаленной работе
MaxPatrol SIEM 5.1: что нового
Пакеты экспертизы в MaxPatrol SIEM
Как упростить работу с SIEM-системой: обзор MaxPatrol SIEM 5.0
MaxPatrol SIEM 4.0: постоянно обновляемая экспертиза и противодействие новым угрозам
Поваренная книга “SOC”: как приготовить SIEM из активов вместо событий
На гребне ИБ: новые возможности MaxPatrol SIEM
MaxPatrol SIEM 2.0 — новая точка отсчета!
Наш взгляд на будущее SIEM систем

Результаты опроса о трудозатратах на SIEM-системы

В сентябре мы провели опрос специалистов по ИБ. Размер SIEM-команды в 47% случаев не превышает двух человек, при этом их время работы с системой только растет. Из отчета вы узнаете, какие задачи занимают больше всего времени и что, по мнению 225 специалистов, поможет сократить трудозатраты.

Читать отчет

Новости

MaxPatrol SIEM выявляет попытки закрепления атакующих в инфраструктурах на базе операционной системы Linux
Solar JSOC выявил десять целевых атак с помощью MaxPatrol SIEM
Пакет экспертизы для безопасной удаленной работы в MaxPatrol SIEM пополнился новыми сценариями
Смотреть все новости →

Подключайте новые источники событий — бесплатно

В ходе внедрения мы бесплатно подключаем к MaxPatrol SIEM любые бизнес-системы, в том числе специфические и самописные.

Связанные продукты и сервисы

Безопасная удаленная работа Решение для мониторинга работы сотрудников на удалёнке
PT Expert Security Center Реагирование и расследование инцидентов
PT Network Attack Discovery

Cистема глубокого анализа трафика для выявления атак
PT Platform 187 Реализация основных требований закона № 187-ФЗ для небольших инфраструктур
Безопасность объектов КИИ Cистема безопасности в соответствии с требованиями закона № 187-ФЗ
PT MultiScanner Многоуровневая защита от вредоносного ПО
PT ISIM Cистема управления инцидентами кибербезопасности АСУ ТП

Бесплатный пилот

Оцените возможности MaxPatrol SIEM на вашей инфраструктуре — заполните заявку и начните выявлять актуальные угрозы с помощью экспертизы Positive Technologies.

Нажимая кнопку «Отправить», вы даете свое конкретное, информированное и сознательное согласие на обработку и хранение ваших персональных данных и соглашаетесь с Политикой конфиденциальности.