Обзор MaxPatrol SIEM 8.0, системы мониторинга ИБ-событий и выявления инцидентов - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор MaxPatrol SIEM 8.0, системы мониторинга ИБ-событий и выявления инцидентов

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор MaxPatrol SIEM 8.0, системы мониторинга ИБ-событий и выявления инцидентов
26 октября Positive Technologies выпустила новую версию системы MaxPatrol SIEM — 8.0. Нововведения в продукте позволяют гарантированно выявлять попытки нарушения киберустойчивости компаний и инциденты в ИБ, ведущие к реализации недопустимых событий.      ВведениеУпрощение работы аналитиков (Analyst Experience)2.1. Новый модуль BAD с машинным обучением2.2. Обновлённая карточка события2.3. Перекрёстные поисковые запросы и реагирование из карточки события2.4. Повышение удобства работы с PDQL2.5. Просмотр связанных корреляционных событий2.6. GeoIP: определение местоположения узлов по IP-адресуСкорость обработки — свыше 540 000 EPSДвукратная оптимизация ресурсовВыводыВведениеВ MaxPatrol SIEM 8.0 мы увеличили скорость обработки инцидентов операторами — за счёт того, что появилась новая подсистема поддержки принятия решений Behavioral Anomaly Detection (BAD), основанная на машинном обучении (ML). Также обновлена карточка события, которая позволяет просматривать связанные корреляционные феномены, проверять потенциально опасные артефакты и реагировать без переключения между интерфейсами разных продуктов. При этом скорость обработки превысила 540 000 событий в секунду, а ресурсов теперь требуется в два раза меньше, чем раньше.Упрощение работы аналитиков (Analyst Experience)По данным Forrester, аналитики центра мониторинга (SOC) посвящают основную часть времени не своим прямым задачам — расследованию инцидентов и реагированию на них, — а тому, чтобы преодолеть сложности использования инструментов ИБ. Одно из фокусных направлений развития MaxPatrol SIEM — упрощение деятельности аналитика (analyst experience, AX). Глобальная задача состоит в том, чтобы пользователь без опыта работы с системами этого класса смог быстро разобраться в продукте и обеспечивать с его помощью результативную кибербезопасность. Рисунок 1. Структура AX Совершенствование AX в MaxPatrol SIEM затрагивает сразу несколько аспектов: экспертизу, которая помогает без дополнительных вложений и доработок начать выявлять инциденты уже во время пилотного тестирования,технологии машинного обучения, берущие на себя рутинную работу аналитика (например, пометить похожие события как ложноположительные, написать похожие запросы) и помогающие принимать решения,оптимизацию интерфейса, позволяющую выявлять, расследовать инциденты и реагировать на них в едином окне.Специалисты нашего экспертного центра кибербезопасности PT Expert Security Center (PT ESC) и исследователи Positive Technologies постоянно изучают новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Кроме того, мы постоянно совершенствуем механизмы работы с базой знаний. В новой версии, например, установка и обновление правил нормализации и агрегации для облегчённой версии компонента MaxPatrol SIEM Server теперь происходят автоматически.Новый модуль BAD с машинным обучениемКак мы уже упоминали, в новой версии продукта появилась подсистема поддержки принятия решений на основе технологий машинного обучения — BAD (Behavioral Anomaly Detection). Этот модуль помогает оператору SOC принять решение с опорой не только на срабатывания правил корреляции, но и на альтернативное мнение о поведении объектов, связанных с событием. BAD выставляет оценку риска (risk score) от 0 до 100 на основании результатов работы порядка 30 моделей машинного обучения, основанных на более чем двадцатилетнем опыте изучения поведения злоумышленников во время атаки.Нагляднее — в нашем видео:  Модуль BAD предоставляет больше контекста и информации о происходящем, поэтому его можно назвать интеллектуальным помощником, системой «второго мнения», помогающей сократить время на принятие решения.При этом инструмент для жёсткого профилирования в MaxPatrol SIEM также присутствует. Подробнее о нём можно прочитать здесь.Обновлённая карточка событияЦелый ряд изменений затронул работу с настраиваемыми карточками событий. Чтобы аналитик мог сконцентрироваться на наиболее важных деталях, мы упростили доступ к данным о субъекте, объекте, отправителе, получателе и источнике события, а также изменили внешний вид карточек нормализованных и корреляционных событий. Рисунок 2. Карточка события В новой версии можно изменить отображение карточки события с учётом требований конкретного пользователя и настроить удобный набор визуализируемых полей с гранулярностью PDQL-фильтра. Напомним, что PDQL (Positive Data Query Language) — это язык, разработанный в Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков.Перекрёстные поисковые запросы и реагирование из карточки событияВ MaxPatrol SIEM 8.0 можно отправлять поисковые запросы в сторонние системы и сервисы прямо из карточки события. На данный момент поддерживаются MaxPatrol EDR, PT Network Attack Discovery (PT NAD), RST Cloud, Spur, Whois7, VirusTotal, IP-API, AbuseIPDB, PT Threat Analyzer и др. MaxPatrol SIEM можно использовать совместно с MaxPatrol EDR. Таким образом помимо расширенных возможностей для фильтрации и группировки событий мы обеспечиваем реагирование на инциденты непосредственно со страницы события. Это существенно сокращает время реакции операторов и позволяет быстрее останавливать атаки. Рисунок 3. Реагирование на инцидент Повышение удобства работы с PDQLДля написания запросов в MaxPatrol SIEM 8.0 не нужно изучать документацию. В новой версии PDQL-запросы для фильтрации и группировки событий можно копировать и передавать как обычный текст. Например, чтобы передать запрос другому оператору, достаточно скопировать текст запроса и переслать его по электронной почте или в мессенджере.Для повышения удобства работы с запросами в скором времени появится подсветка синтаксиса PDQL в поле фильтра событий, а также конструктор условий с возможностью автозаполнения.Просмотр связанных корреляционных событийВ MaxPatrol SIEM 8.0 стало легче работать с инцидентами благодаря проверке гипотез. Просмотр связанных корреляционных событий повышает скорость обработки инцидентов. Аналитик может быстро перейти из дерева гипотез на интересующее его событие. Рисунок 4. Работа с деревом гипотез GeoIP: определение местоположения узлов по IP-адресуАктуальное обновление в настоящее время — это определение местоположения узлов по IP-адресу. В MaxPatrol SIEM 8.0 можно настроить обогащение событий данными GeoIP, дополнив информацию о событии уникальным номером (ASN), данными о городе, стране и организации, которым принадлежат узел-источник и узел назначения. Рисунок 5. Статистика по GeoIP Рисунок 6. Использование данных GeoIP Скорость обработки — свыше 540 000 EPSПроизводительность MaxPatrol SIEM продолжает увеличиваться, чтобы мониторинг энтерпрайз-уровня обеспечивался при самых высоких нагрузках. Скорость мониторинга выросла в девять раз: MaxPatrol SIEM 8.0 может обрабатывать более 540 000 событий в секунду (events per second, EPS) на одном ядре с полным набором экспертизы. Добиться такого результата удалось в том числе за счёт архитектурных возможностей: горизонтальное масштабирование позволяет подключать несколько конвейеров к одному ядру.Двукратная оптимизация ресурсовНайти подходящее оборудование — сегодня по-прежнему нетривиальная задача. Мы стремимся оптимизировать требования к аппаратным мощностям.Например, для развёртывания системы MaxPatrol SIEM 8.0, которая обрабатывает до 5000 EPS, требуется в два раза меньше виртуальных процессоров (vCPU) и вдвое меньше оперативной памяти, чем в предыдущих версиях. Начиная с версии MaxPatrol 7.0 можно использовать СУБД LogSpace, разработанную нашими специалистами. По эффективности она превосходит опенсорсные аналоги как минимум в два раза. Рисунок 7. Руководство по масштабированию Новое руководство по масштабированию можно посмотреть здесь.ВыводыЕсли описывать MaxPatrol SIEM 8.0 одним словом, то это — «результативность». Во-первых, MaxPatrol SIEM может обеспечивать мониторинг событий на огромных инсталляциях и требует в два раза меньше ресурсов, чем раньше. Во-вторых, новый ML-помощник BAD предоставляет альтернативный метод оценки событий, помогая аналитику держать фокус на самом важном. И, в-третьих, за счёт просмотра связанных корреляционных событий, проверки потенциально опасных IP-адресов, доменов и файлов, а также благодаря возможности реагирования из единого окна мы повышаем скорость обработки инцидентов.Если вы хотите протестировать функции MaxPatrol SIEM 8.0, заполните короткую форму на сайте.Если вы уже пользуетесь MaxPatrol SIEM, для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies.Любые вопросы по продукту можно обсудить в официальном телеграм-чате: t.me/MPSIEMChat.Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, ОГРН 1077761087117LdtCKNgpU

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×