Обзор решения

PT XDR предназначено для управления сбором телеметрии, обнаружения продвинутых атак, расследования инцидентов, оперативной реакции на угрозы.

PT XDR собирает и обогащает данные с рабочих станций и серверов, позволяет выполнять статический и динамический анализ угроз, как на устройствах, так и во внешних системах, выявляет в IT-инфраструктуре сложные целевые атаки и позволяет реагировать на них как вручную, так и автоматически.


Объединяй
Объединяет в себе события и контекст из множества систем информационной безопасности, верифицирует сработки и подтверждает факт атаки.
Реагируй
На обнаруженные угрозы в ручном или автоматическом режиме, в том числе автономно.
Автоматизируй
PT XDR помогает снизить требования к ресурсам SOC-команды с помощью автоматизации рутинных процессов реагирования на типовые угрозы ИБ.

Ключевые возможности

Сбор данных и мониторинг

Управление процессом сбора событий с рабочих станций и серверов: установка и конфигурирование утилиты расширенного мониторинга, передача собранных данных в SIEM-системы с возможностью предварительной фильтрации.

Управление процессом сбора событий с рабочих станций и серверов

Сбор с атакованных узлов артефактов, значимых для технических расследований.

Сбор с атакованных узлов артефактов
Сбор с атакованных узлов артефактов
Сбор с атакованных узлов артефактов

Обнаружение угроз

Обнаружение угроз на конечных устройствах, включая продвинутые техники атакующих:

  • эксплуатация уязвимостей;
  • повышение привилегий;
  • техники разведки и закрепления в системе и другие.

Обнаруженные техники маркируются в соответствии с матрицей MITRE ATT&CK.

Всего более 50 техник по модели MITRE ATT&CK.

Всего более 50 техник по модели MITRE ATT&CK

Динамический и статический анализ

Передача файлов в систему динамического и статического анализа PT Sandbox и другие внешние системы. Реагирование на обнаруженные угрозы на основании вердиктов проверки.

Передача файлов в систему динамического и статического анализа PT Sandbox

Реагирование

Реагирование на обнаруженные угрозы в ручном и автоматическом режиме:

  • изолирование узлов;
  • завершение запущенных процессов;
  • удаление вредоносных файлов;
  • блокировка опасных подключений;
  • дополнительный анализ подозрительных процессов

Ручное реагирование

Ручное реагирование

Результат

Результат

Автоматическое реагирование

Автоматическое реагирование

Результат

Результат

Экспертиза

Использование собственной экспертизы пользователя, данных об угрозах и экспертизы Positive Technologies и других поставщиков для выявления и расследования кибератак.

Использование собственной экспертизы пользователя

Продукты в составе PT XDR

В полный состав решения входит 4 продукта: PT EDR, MaxPatrol SIEM, MaxPatrol VM, PT Sandbox.

1. PT EDR

Реагирует на обнаруженные угрозы и является важным поставщиком информации для SIEM-систем, обогащает события полезным контекстом. Реагирование может происходить как в ручном, так и в автоматическом режиме, если это предусмотрено политикой.

2. MaxPatrol SIEM

Удобное и оперативное управления конфигурациями средств расширенного мониторинга через общий интерфейс. Сбор событий организован централизовано, через серверы агентов PT XDR.

3. MaxPatrol VM

Локальное сканирование устройств по расписанию. Сбор информации для расчета уязвимостей с устройств, в том числе не подключенных к корпоративной сети. Сканирование в ручном режиме или по триггеру.

4. PT Sandbox

Песочница позволяет существенно повысить вероятность обнаружения сложного вредоносного ПО. Файлы, подлежащие дополнительной проверке, передаются от агента серверу агентов, а далее — в PT Sandbox для подробного статического и поведенческого анализа.

Уникальные преимущества PT XDR

Глубокая настройка обнаружения и реагирования
PT XDR предоставляет возможность гранулярной настройки: можно управлять списком установленных модулей, регулируя баланс между глубиной обнаружения и нагрузкой на устройство. Действия по реагированию можно задать отдельно для каждого события PT XDR.
Расширяемость функционала
PT XDR предлагает возможность использования пользовательских корреляционных и YARA-правил, а также потоков данных от сторонних поставщиков при интеграции с PT Feeds. Функционал PT XDR можно расширить с помощью пользовательских настраиваемых модулей для решения любых задач.
Интеграционный потенциал
PT XDR предоставляет почти неограниченные возможности для интеграции, в том числе с решениями сторонних производителей. Интеграция осуществляется с помощью создания интеграционных модулей, верифицируемых Positive Technologies или ее партнерами.

Что отличает XDR-системы от систем других классов?

В обзорной статье на портале CNews подробно рассказываем о том, какими были предпосылки появления XDR, описываем требования к системам этого класса, а также разбираем различия между задачами и возможностями EDR и XDR.

Схема решения

Схема XDR

Стоимость продукта

Права на использование программного изделия Positive Technologies Extended Detection and Response предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу.

Контактная информация

Материалы

Выписка из Единого реестра российских программ

Выписка из реестра №15328

Документация

Руководство администратора
Краткое описание продукта
Документация на справочном портале

Positive Technologies Extended Detection and Response (PT XDR)

Внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных «31» октября 2022 года, регистрационный номер 15328, https://reestr.digital.gov.ru/reestr/1108268/.