MaxPatrol SIEM: ключевые возможности
Быстрое внедрение
Оперативное развертывание и запуск мониторинга инфраструктуры благодаря поддержке порядка 350 источников данных и более 1300 готовых экспертных правил корреляции.
Актуальная экспертиза
Ежемесячное автоматическое обновление новыми пакетами экспертизы: правила корреляции, механизмы обогащения, табличные списки. Постоянное улучшение и доработка ранее загруженных правил.
Адаптивность к изменениям
Быстрая адаптация к изменениям в инфраструктуре и точная идентификация ИТ-активов. Классификация активов по группам упрощает настройку правил корреляции.
Помощь в принятии решений
Встроенный ML-помощник BAD (Behavioral Anomaly Detection) — система second opinion, повышающая эффективность обнаружения атак за счет альтернативной оценки событий.
Высокая производительность
Обработка более 540 тысяч событий в секунду на одном ядре с полной экспертизой. Использование СУБД LogSpace, которая потребляет в два раза меньше ресурсов, чем аналогичные open source решения.
Удобство для аналитика
Удобная карточка события позволяет просматривать связанные события, проверять потенциально опасные файлы и реагировать на инциденты в едином интерфейсе.
Сценарии использования MaxPatrol SIEM
Сбор данных об инфраструктуре и отслеживание изменений в реальном времени
Специалисты по ИБ часто не имеют полной и актуальной информации об ИТ-инфраструктуре компании, что затрудняет выявление уязвимостей и оперативное реагирование. Инфраструктура динамична: системы добавляются, меняются конфигурации, что требует постоянного обновления данных для эффективного мониторинга.
Технология детальной инвентаризации MaxPatrol SIEM обеспечивает контроль изменений инфраструктуры в реальном времени:
- Автоматически создает карточку актива с журналом его состояния.
- Избегает дублирования активов при смене IP- или MAC-адресов благодаря идентификации по дополнительным параметрам (тип ОС, имя узла, признак виртуальности).
- Позволяет собирать активы в динамические группы, которые автоматически адаптируются к изменениям. Это упрощает настройку правил корреляции и отслеживание систем с устаревшим ПО, одинаковыми уязвимостями или открытыми портами.
Контроль полноты и качества сбора событий ИБ
Эффективный мониторинг начинается с подключения источников. Чем больше систем интегрировано, тем полнее картина происходящего и выше уверенность, что инцидент не будет пропущен. MaxPatrol SIEM поддерживает более 310 различных источников и включает свыше 8000 правил нормализации "из коробки".
Технология детальной инвентаризации помогает контролировать полноту подключения активов. Мониторинг источников с учетом типичной активности (например, снижение событий ночью) позволяет оценить качество сбора данных.
Система выявляет:
- Недоступность источника событий.
- Аномалии в распределении потока событий.
- Задержки в получении событий от источника.
Встроенный чек-лист помогает самостоятельно оценить корректность настройки системы.
Обнаружение сложных атак с помощью встроенной экспертизы и машинного обучения
Сбор данных — лишь первый шаг. Основная ценность SIEM — в экспертном контенте, выявляющем инциденты. MaxPatrol SIEM содержит около 900 правил корреляции, покрывающих 70% техник из матрицы MITRE ATT&CK, и обнаруживает попытки нарушить киберустойчивость компании.
ML-технологии позволяют выявлять сложные целевые атаки, направленные на обход стандартных правил.
Возможности системы:
- Создание правил корреляции, в том числе с помощью визуального конструктора.
- Гибкая настройка правил под особенности конкретной инфраструктуры.
- Автоматическая фильтрация по белым спискам (whitelisting) для минимизации ложных срабатываний.
Валидация инцидентов ИБ с помощью ML-помощника
Использование белых списков для снижения ложных срабатываний может увеличить риск пропуска реальных угроз. ML-помощник BAD (Behavioral Anomaly Detection) в MaxPatrol SIEM выступает как система second opinion, помогая валидировать решения оператора.
BAD повышает эффективность обнаружения атак за счет альтернативного анализа событий и оценки достоверности каждой сработки по 100-балльной шкале. Система включает около 30 моделей машинного обучения для выявления подозрительной активности, а экспертные правила снижают риск некорректных результатов.
Ускоренное расследование инцидента и реагирование из единого окна
В критических ситуациях, таких как распространение шифровальщика, требуется немедленное реагирование. MaxPatrol SIEM в связке с MaxPatrol EDR позволяет быстро провести расследование и отреагировать на инцидент.
Правила обогащения позволяют аналитику SOC подтверждать большинство инцидентов без запроса дополнительных данных и получать динамические сведения, формирующиеся в ходе развития атаки.
Возможности для пользователя:
- Обращение к сторонним системам и сервисам прямо из карточки события: проверка трафика в PT NAD, анализ файлов в PT Sandbox, реагирование через MaxPatrol EDR.
- Использование расширений, предложенных сообществом.
- Кастомизация карточки события: настройка удобного набора визуализируемых полей с детализацией PDQL-фильтра.
- Проверка гипотез путем просмотра связанных корреляционных событий.
Для покупки товара в нашем интернет-магазине выберите понравившийся товар и добавьте его в корзину. Далее перейдите в Корзину и нажмите на «Оформить заказ» или «Быстрый заказ».
Когда оформляете быстрый заказ, напишите ФИО, телефон и e-mail. Вам перезвонит менеджер и уточнит условия заказа. По результатам разговора вам придет подтверждение оформления товара на почту или через СМС. Теперь останется только ждать доставки и радоваться новой покупке.
Оформление заказа в стандартном режиме выглядит следующим образом. Заполняете полностью форму по последовательным этапам: адрес, способ доставки, оплаты, данные о себе. Советуем в комментарии к заказу написать информацию, которая поможет курьеру вас найти. Нажмите кнопку «Оформить заказ».
Оплачивайте покупки удобным способом. В интернет-магазине доступно 3 варианта оплаты:
- Наличные при самовывозе или доставке курьером. Специалист свяжется с вами в день доставки, чтобы уточнить время и заранее подготовить сдачу с любой купюры. Вы подписываете товаросопроводительные документы, вносите денежные средства, получаете товар и чек.
- Безналичный расчет при самовывозе или оформлении в интернет-магазине: карты Visa и MasterCard. Чтобы оплатить покупку, система перенаправит вас на сервер системы ASSIST. Здесь нужно ввести номер карты, срок действия и имя держателя.
- Электронные системы при онлайн-заказе: PayPal, WebMoney и Яндекс.Деньги. Для совершения покупки система перенаправит вас на страницу платежного сервиса. Здесь необходимо заполнить форму по инструкции.
Экономьте время на получении заказа. В интернет-магазине доступно 4 варианта доставки:
- Курьерская доставка работает с 9.00 до 19.00. Когда товар поступит на склад, курьерская служба свяжется для уточнения деталей. Специалист предложит выбрать удобное время доставки и уточнит адрес. Осмотрите упаковку на целостность и соответствие указанной комплектации.
- Самовывоз из магазина. Список торговых точек для выбора появится в корзине. Когда заказ поступит на склад, вам придет уведомление. Для получения заказа обратитесь к сотруднику в кассовой зоне и назовите номер.
- Постамат. Когда заказ поступит на точку, на ваш телефон или e-mail придет уникальный код. Заказ нужно оплатить в терминале постамата. Срок хранения — 3 дня.
- Почтовая доставка через почту России. Когда заказ придет в отделение, на ваш адрес придет извещение о посылке. Перед оплатой вы можете оценить состояние коробки: вес, целостность. Вскрывать коробку самостоятельно вы можете только после оплаты заказа. Один заказ может содержать не больше 10 позиций и его стоимость не должна превышать 100 000 р.