Вебинары

MaxPatrol EDR: новые возможности защиты конечных устройств

Спикеры

Александр Коробко

Александр Коробко

Руководитель направления продуктового маркетинга по безопасности инфраструктуры, Positive Technologies

Кирилл Черкинский

Кирилл Черкинский

Руководитель группы Detect and response

Пересказ

Мы сделали расшифровку вебинара для тех, кто предпочитает читать.

Ключевые тезисы

В последнем обновлении MaxPatrol EDR основной упор сделан на расширение возможностей реагирования и глубокий анализ файлов. Ключевые нововведения:

  • Полноценный карантин: долгожданная функция, позволяющая изолировать подозрительные файлы локально в зашифрованном виде перед удалением.
  • Блокировка учетных записей: возможность оперативно пресекать активность злоумышленника, скомпрометировавшего локальную или доменную учетку.
  • Автоматизация на Linux: новый модуль для унифицированной настройки auditd на тысячах узлов из единой консоли.
  • Экспертный анализ: проверка файлов по базе из 40 000+ актуальных хешей от PT Expert Security Center (PT ESC).
  • Интеграция с MITRE ATT&CK: наглядная демонстрация покрытия тактик и техник злоумышленников прямо в интерфейсе продукта.

Почему антивируса больше недостаточно

Синергия MaxPatrol EDR и антивирусных решений

MaxPatrol EDR не является заменой антивируса. Это комплементарные решения, которые должны работать в связке. Антивирусы отлично справляются с массовыми, известными угрозами благодаря обширным сигнатурным базам. Однако у них есть слабые места:

  • антивирусы плохо детектируют атаки, данных о которых еще нет в базах;
  • злоумышленники часто используют легитимные инструменты администрирования, которые антивирусы не блокируют, чтобы не нарушать работу системы.

MaxPatrol EDR фокусируется на реактивных механиках: позволяет завершать уже запущенные процессы, удалять файлы и блокировать учетные записи.

Роль расширенного мониторинга

Для эффективной защиты эксперты рекомендуют использовать утилиты расширенного мониторинга, такие как Sysmon для Windows и auditd для Linux. Они позволяют значительно увеличить подробность журналирования. Важно понимать, что сами по себе эти утилиты ничего не обнаруживают и не умеют реагировать — они лишь наполняют журналы данными, которые MaxPatrol EDR превращает в осмысленные инциденты.

Архитектура и автономность MaxPatrol EDR

Агент MaxPatrol EDR — больше чем просто сенсор. Его архитектура отличается модульностью и высокой степенью автономности.

Ключевые особенности агента:

  • Автономность: агенту не нужен постоянный доступ к управляющему серверу или интернету для анализа активности и реагирования. Это важно для защиты устройств удаленных сотрудников и изолированных сегментов сети.
  • Экспертиза: каждый агент несет в себе корреляционный движок, поведенческий анализ и статический анализ YARA-правилами от экспертного центра PT ESC.
  • Гибкость настройки: модули реагирования можно включать или отключать для разных групп устройств. Например, для топ-менеджмента можно оставить только аудит и сбор данных, отключив автоматическую изоляцию узла, чтобы избежать бизнес-рисков.

Новые горизонты анализа файлов

Модуль обнаружения подозрительных файлов

Файлы часто попадают в систему через шифрованные каналы (мессенджеры, браузеры), которые сложно проанализировать в сетевом трафике. Новый модуль позволяет установить прицельное наблюдение за определенными папками и процессами.

Как это работает:

  • Вы указываете чувствительные каталоги (например, Downloads или папки автозагрузки).
  • Задаете родительские процессы (по умолчанию: Telegram, Chrome, Edge, Firefox).
  • Если один из этих процессов создает файл в указанной папке, система генерирует событие, которое может служить триггером для автоматической отправки файла в песочницу или запуска YARA-сканирования.

Проверка по базе актуальных хешей

Иногда на новую угрозу еще нет правила корреляции или YARA-сигнатуры. В таких случаях на помощь приходит проверка по хешам.

  • База PT ESC: включает в себя более 40 000 хешей, выявленных экспертами в ходе расследований (например, атак группировки Hellhounds).
  • Частота обновления: данные актуализируются каждый час, что позволяет быстро блокировать новые зловреды.

Революция в реагировании

Локальный карантин

Одной из самых востребованных функций стал локальный карантин файлов. Иногда администраторы настраивают слишком агрессивные политики удаления, что приводит к потере важных рабочих документов при ложных срабатываниях.

Механика работы карантина в MaxPatrol EDR:

  1. Шифрование: файл сначала шифруется и помещается в защищенный архив с паролем.
  2. Приоритет действий: система всегда сначала отправляет файл в карантин и только потом удаляет его из исходного расположения.
  3. Восстановление: если файл был удален ошибочно, оператор может восстановить его в исходную папку или специальную резервную директорию.
  4. Сохранность: возможность восстановления сохраняется даже после переустановки агента или смены его политики.

Блокировка учетных записей

Компрометация учетных записей (особенно локальных администраторов) — излюбленный метод хакеров для продвижения внутри сети. Новый модуль позволяет мгновенно пресекать деятельность злоумышленника.

Возможности модуля:

  • Интерактивный список: оператор видит всех пользователей на узле и их текущий статус.
  • Сброс сессий: кнопка «Завершить все активные сеансы» позволяет мгновенно разорвать доступ к станции.
  • Таймер блокировки: можно установить время, на которое учетная запись будет деактивирована.
  • Доменные учетки: MaxPatrol EDR позволяет заблокировать доменную запись на конкретном узле, чтобы хакер не смог зайти на него снова под теми же данными.

Мониторинг Linux

Настройка аудита в Linux традиционно считается сложной задачей, часто требующей привлечения системных администраторов для каждого отдельного epkf. В новом релизе представлен модуль «Установщик auditd», который позволяет специалистам по ИБ управлять всем процессом из единой консоли.

Преимущества модуля:

  • Централизованное управление: конфигурации и правила аудита задаются через политики MaxPatrol EDR.
  • Стандартные инструменты: продукт использует штатные пакетные менеджеры (APT, YUM) и не приносит на узлы сторонние бинарные файлы.
  • Откатоустойчивость: при удалении агента или изменении политики модуль может вернуть предыдущую конфигурацию системы, чтобы не нарушать работу ИТ-сервисов.

Пользовательский опыт и интеграции

Матрица MITRE ATT&CK

Для визуализации эффективности защиты в продукт добавлена вкладка управления матрицей MITRE ATT&CK. Это позволяет быстро понять, какие техники злоумышленников закрыты для Windows, а какие — для Linux, и дифференцировать правила по уровню угрозы.

Оптимизация работы с PT Sandbox

Интеграция с песочницей стала более умной и производительной:

  • Статический анализ: теперь можно отправить файл только на быструю проверку антивирусами и YARA-правилами, без запуска тяжелого поведенческого анализа.
  • Контроль очереди: если файл уже находится в очереди на проверку или был недавно проанализирован, MaxPatrol EDR не будет отправлять его повторно, снижая нагрузку на систему.
  • Интерактивный статус: в интерфейсе модуля теперь явно отображается состояние подключения к серверу песочницы.

Заключение

Обновление MaxPatrol EDR делает продукт значительно более зрелым инструментом для ежедневной работы специалиста по ИБ. Введение локального карантина, блокировки учетных записей и упрощенного управления Linux-узлами существенно снижает порог входа и время реагирования на инциденты.

Полезные материалы

Вопросы от зрителей

Вопрос: MaxPatrol EDR — это все еще надстройка над Sysmon/Auditd или есть улучшения?
Ответ: Сейчас мы полагаемся на эти утилиты и штатный аудит ОС, но в планах — внедрение eBPF для Linux и собственного драйвера для Windows, чтобы собирать еще больше данных.

Вопрос: Какие рекомендации по защите узлов с установленными агентами от компрометации самой админки MaxPatrol EDR?
Ответ: Мы планируем внедрить двухфакторную аутентификацию для доступа к консоли. Также в политиках можно физически не устанавливать модули реагирования на критически важные группы серверов, чтобы даже при взломе админки нельзя было выполнить удаленное действие.

Вопрос: Можно ли отправить файл в PT Sandbox вручную?
Ответ: Да, через интерактивную часть модуля отправки файлов можно указать путь и отправить файл на анализ вручную.

Вопрос: Работает ли новый модуль как встроенная песочница?
Ответ: Нет. В MaxPatrol EDR есть узловой коррелятор, использующий часть логики песочницы, но полноценная песочница анализирует файл в изолированной среде без «шума» реальной системы, что дает более точный результат.

Вопрос: Можно ли подгружать свои хеши в базу?
Ответ: Пока такой возможности нет. Данные приходят только от PT ESC. Мы работаем над полноценной интеграцией с нашей TI-платформой (PT TI), где можно будет работать с пользовательскими индикаторами.

Вопрос: Что с поддержкой macOS?
Ответ: До конца года планируем добавить полноценный сбор событий для mac-устройств. Коррелятор для этой ОС уже есть.

Вопрос: Как реализована самозащита?
Ответ: Если Sysmon или auditd будут остановлены, система создаст уведомление об инциденте.

Вопрос: Попадают ли копии файлов из карантина на сервер?
Ответ: На текущий момент карантин выполняется локально на агенте.

FAQ

  1. Можно ли восстановить файл из карантина после переустановки агента? Да, возможность восстановления зашифрованного архива сохраняется даже при переустановке ПО или смене политик.
  2. Нужен ли агенту доступ в интернет для блокировки угроз? Нет, агент автономен и выполняет корреляцию событий и действия по реагированию (например, завершение процессов) локально.
  3. Блокирует ли MaxPatrol EDR учетную запись во всем домене Active Directory? Нет, модуль блокировки учетных записей в MaxPatrol EDR действует локально на конкретном узле, предотвращая вход хакера именно на эту машину.
  4. Как MaxPatrol EDR помогает в управлении Linux? С помощью нового модуля «Установщик auditd» специалисты по ИБ могут централизованно настраивать правила мониторинга без прямого обращения к системным администраторам.
;