Новая версия MaxPatrol SIEM: постоянно обновляемая экспертиза и противодействие новым видам угроз

Компания Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз.

Концептуальной новинкой новой версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Наборы правил и рекомендаций объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

Регулярно поставляемые в PT KB обновления включают в себя готовые правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, а также рекомендации по тонкой настройке аудита на источниках событий для точного выявления атак и по расследованию выявленных инцидентов.

Механизм был успешно протестирован на предыдущей версии системы, когда в нее были добавлены новые правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. На данный момент выход экспертных пакетов запланирован не реже одного раза в два месяца. Ожидается, что к концу 2018 года временной зазор между ними сократится до одного месяца. В отдельных случаях предусмотрен оперативный выпуск наборов правил вне графика: например, во время глобальных атак уровня WannaCry или NotPetya[1].

В MaxPatrol SIEM 4.0 усовершенствованы механизмы обогащения данных об активах — ключевых элементах модели IT-инфраструктуры в MaxPatrol SIEM. В числе прочего знания об активе теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM)[2] и системы контроля защищенности MaxPatrol 8. Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую IT-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.

 Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы показателей и метрик эффективности, что позволяет руководству компании оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ и ИТ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования.

Приятная новость для тех, кто планирует внедрить систему: в MaxPatrol SIEM 4.0 оптимизирован процесс установки ― минимизирована вероятность возникновения ошибок и на 60% сокращено количество действий, необходимых для развертывания системы.

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Подробнее — на ptsecurity.com, facebook.com/PositiveTechnologies, facebook.com/PHDays

[1] Во время эпидемии NotPetya, к примеру, специалисты PT ESC менее чем за 4 часа разработали правила, выявляющие признаки заражения.

[2] Microsoft System Center Configuration Manager ― продукт для управления IT-инфраструктурой на основе Microsoft Windows и смежных устройств. Он предоставляет возможности для управления обновлениями, развертывания ПО и операционных систем, инвентаризации аппаратного и программного обеспечения, удаленного управления, управления виртуализированными и мобильными системами на базе Windows и др.

[3] Сигнатуры, написанные командой PT ESC, включаются в официальные сборки ET Open, ведущего поставщика сигнатур для IDS. С публичными сигнатурами можно ознакомиться в твиттер-аккаунте команды @attackdetection.

https://www.ptsecurity.com/ru-ru/about/news/292036/








 

ИД «Connect» © 2015-2018

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика