Обзор MaxPatrol SIEM 8.0, системы мониторинга ИБ-событий и выявления инцидентов

[AM_Bot 48]

26 октября Positive Technologies выпустила новую версию системы MaxPatrol SIEM — 8.0. Нововведения в продукте позволяют гарантированно выявлять попытки нарушения киберустойчивости компаний и инциденты в ИБ, ведущие к реализации недопустимых событий.      ВведениеУпрощение работы аналитиков (Analyst Experience)2.1. Новый модуль BAD с машинным обучением2.2. Обновлённая карточка события2.3. Перекрёстные поисковые запросы и реагирование из карточки события2.4. Повышение удобства работы с PDQL2.5. Просмотр связанных корреляционных событий2.6. GeoIP: определение местоположения узлов по IP-адресуСкорость обработки — свыше 540 000 EPSДвукратная оптимизация ресурсовВыводыВведениеВ MaxPatrol SIEM 8.0 мы увеличили скорость обработки инцидентов операторами — за счёт того, что появилась новая подсистема поддержки принятия решений Behavioral Anomaly Detection (BAD), основанная на машинном обучении (ML). Также обновлена карточка события, которая позволяет просматривать связанные корреляционные феномены, проверять потенциально опасные артефакты и реагировать без переключения между интерфейсами разных продуктов. При этом скорость обработки превысила 540 000 событий в секунду, а ресурсов теперь требуется в два раза меньше, чем раньше.Упрощение работы аналитиков (Analyst Experience)По данным Forrester, аналитики центра мониторинга (SOC) посвящают основную часть времени не своим прямым задачам — расследованию инцидентов и реагированию на них, — а тому, чтобы преодолеть сложности использования инструментов ИБ. Одно из фокусных направлений развития MaxPatrol SIEM — упрощение деятельности аналитика (analyst experience, AX). Глобальная задача состоит в том, чтобы пользователь без опыта работы с системами этого класса смог быстро разобраться в продукте и обеспечивать с его помощью результативную кибербезопасность. Рисунок 1. Структура AX Совершенствование AX в MaxPatrol SIEM затрагивает сразу несколько аспектов: экспертизу, которая помогает без дополнительных вложений и доработок начать выявлять инциденты уже во время пилотного тестирования,технологии машинного обучения, берущие на себя рутинную работу аналитика (например, пометить похожие события как ложноположительные, написать похожие запросы) и помогающие принимать решения,оптимизацию интерфейса, позволяющую выявлять, расследовать инциденты и реагировать на них в едином окне.Специалисты нашего экспертного центра кибербезопасности PT Expert Security Center (PT ESC) и исследователи Positive Technologies постоянно изучают новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Кроме того, мы постоянно совершенствуем механизмы работы с базой знаний. В новой версии, например, установка и обновление правил нормализации и агрегации для облегчённой версии компонента MaxPatrol SIEM Server теперь происходят автоматически.Новый модуль BAD с машинным обучениемКак мы уже упоминали, в новой версии продукта появилась подсистема поддержки принятия решений на основе технологий машинного обучения — BAD (Behavioral Anomaly Detection). Этот модуль помогает оператору SOC принять решение с опорой не только на срабатывания правил корреляции, но и на альтернативное мнение о поведении объектов, связанных с событием. BAD выставляет оценку риска (risk score) от 0 до 100 на основании результатов работы порядка 30 моделей машинного обучения, основанных на более чем двадцатилетнем опыте изучения поведения злоумышленников во время атаки.Нагляднее — в нашем видео:  Модуль BAD предоставляет больше контекста и информации о происходящем, поэтому его можно назвать интеллектуальным помощником, системой «второго мнения», помогающей сократить время на принятие решения.При этом инструмент для жёсткого профилирования в MaxPatrol SIEM также присутствует. Подробнее о нём можно прочитать здесь.Обновлённая карточка событияЦелый ряд изменений затронул работу с настраиваемыми карточками событий. Чтобы аналитик мог сконцентрироваться на наиболее важных деталях, мы упростили доступ к данным о субъекте, объекте, отправителе, получателе и источнике события, а также изменили внешний вид карточек нормализованных и корреляционных событий. Рисунок 2. Карточка события В новой версии можно изменить отображение карточки события с учётом требований конкретного пользователя и настроить удобный набор визуализируемых полей с гранулярностью PDQL-фильтра. Напомним, что PDQL (Positive Data Query Language) — это язык, разработанный в Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков.Перекрёстные поисковые запросы и реагирование из карточки событияВ MaxPatrol SIEM 8.0 можно отправлять поисковые запросы в сторонние системы и сервисы прямо из карточки события. На данный момент поддерживаются MaxPatrol EDR, PT Network Attack Discovery (PT NAD), RST Cloud, Spur, Whois7, VirusTotal, IP-API, AbuseIPDB, PT Threat Analyzer и др. MaxPatrol SIEM можно использовать совместно с MaxPatrol EDR. Таким образом помимо расширенных возможностей для фильтрации и группировки событий мы обеспечиваем реагирование на инциденты непосредственно со страницы события. Это существенно сокращает время реакции операторов и позволяет быстрее останавливать атаки. Рисунок 3. Реагирование на инцидент Повышение удобства работы с PDQLДля написания запросов в MaxPatrol SIEM 8.0 не нужно изучать документацию. В новой версии PDQL-запросы для фильтрации и группировки событий можно копировать и передавать как обычный текст. Например, чтобы передать запрос другому оператору, достаточно скопировать текст запроса и переслать его по электронной почте или в мессенджере.Для повышения удобства работы с запросами в скором времени появится подсветка синтаксиса PDQL в поле фильтра событий, а также конструктор условий с возможностью автозаполнения.Просмотр связанных корреляционных событийВ MaxPatrol SIEM 8.0 стало легче работать с инцидентами благодаря проверке гипотез. Просмотр связанных корреляционных событий повышает скорость обработки инцидентов. Аналитик может быстро перейти из дерева гипотез на интересующее его событие. Рисунок 4. Работа с деревом гипотез GeoIP: определение местоположения узлов по IP-адресуАктуальное обновление в настоящее время — это определение местоположения узлов по IP-адресу. В MaxPatrol SIEM 8.0 можно настроить обогащение событий данными GeoIP, дополнив информацию о событии уникальным номером (ASN), данными о городе, стране и организации, которым принадлежат узел-источник и узел назначения. Рисунок 5. Статистика по GeoIP Рисунок 6. Использование данных GeoIP Скорость обработки — свыше 540 000 EPSПроизводительность MaxPatrol SIEM продолжает увеличиваться, чтобы мониторинг энтерпрайз-уровня обеспечивался при самых высоких нагрузках. Скорость мониторинга выросла в девять раз: MaxPatrol SIEM 8.0 может обрабатывать более 540 000 событий в секунду (events per second, EPS) на одном ядре с полным набором экспертизы. Добиться такого результата удалось в том числе за счёт архитектурных возможностей: горизонтальное масштабирование позволяет подключать несколько конвейеров к одному ядру.Двукратная оптимизация ресурсовНайти подходящее оборудование — сегодня по-прежнему нетривиальная задача. Мы стремимся оптимизировать требования к аппаратным мощностям.Например, для развёртывания системы MaxPatrol SIEM 8.0, которая обрабатывает до 5000 EPS, требуется в два раза меньше виртуальных процессоров (vCPU) и вдвое меньше оперативной памяти, чем в предыдущих версиях. Начиная с версии MaxPatrol 7.0 можно использовать СУБД LogSpace, разработанную нашими специалистами. По эффективности она превосходит опенсорсные аналоги как минимум в два раза. Рисунок 7. Руководство по масштабированию Новое руководство по масштабированию можно посмотреть здесь.ВыводыЕсли описывать MaxPatrol SIEM 8.0 одним словом, то это — «результативность». Во-первых, MaxPatrol SIEM может обеспечивать мониторинг событий на огромных инсталляциях и требует в два раза меньше ресурсов, чем раньше. Во-вторых, новый ML-помощник BAD предоставляет альтернативный метод оценки событий, помогая аналитику держать фокус на самом важном. И, в-третьих, за счёт просмотра связанных корреляционных событий, проверки потенциально опасных IP-адресов, доменов и файлов, а также благодаря возможности реагирования из единого окна мы повышаем скорость обработки инцидентов.Если вы хотите протестировать функции MaxPatrol SIEM 8.0, заполните короткую форму на сайте.Если вы уже пользуетесь MaxPatrol SIEM, для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies.Любые вопросы по продукту можно обсудить в официальном телеграм-чате: t.me/MPSIEMChat.Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, ОГРН 1077761087117LdtCKNgpU

Читать далее