MaxPatrol SIEM 5.0 позволяет проводить ретроспективный анализ данных

MaxPatrol SIEM 5.0 позволяет проводить ретроспективный анализ данных

Positive Technologies обновила систему выявления инцидентов MaxPatrol SIEM. Новая версия (5.0) позволяет проводить ретроспективный анализ и мониторинг информационной безопасности в распределенных инфраструктурах. Также в продукте появились конструкторы правил корреляции и отчетов и ряд улучшений, упрощающих работу оператора системы.

Одна из ключевых новинок — конструктор правил корреляции: теперь собственные правила пользователь MaxPatrol SIEM может создавать в несколько кликов, не используя какой-либо специальный язык программирования. В конструкторе используются макросы для быстрой подстановки часто применяемых или сложных для самостоятельного написания фрагментов программного кода. Набор предустановленных макросов регулярно пополняется и может расширяться пользователем самостоятельно.

В системе появилась возможность проводить ретроспективный анализ по индикаторам компрометации. С его помощью MaxPatrol SIEM поможет обнаружить атаку, произошедшую в прошлом, и предотвратить ее дальнейшее развитие. Продукт содержит ежедневно пополняемую базу индикаторов Positive Technologies, а также поддерживает индикаторы компрометации, разработанные «Лабораторией Касперского» и Group-IB. Пользователь системы должен разово активировать функцию проверки событий ИБ с помощью индикаторов компрометации, а далее MaxPatrol SIEM в автоматическом режиме запускает ретроспективный анализ при каждом пополнении базы индикаторов.

Расширились возможности мониторинга для компаний с крупной иерархической инфраструктурой: теперь можно получать актуальные данные о состоянии ИБ во всей организации в любой момент и выявлять распределенные атаки на инфраструктуру отдельного подразделения или целого предприятия. Инструментарий системы позволяет визуализировать архитектуру и иерархию развернутых конфигураций MaxPatrol SIEM и настроить прозрачные правила обмена информации между ними.

В новой версии MaxPatrol SIEM пользователи смогут формировать собственные отчеты с данными об активах, событиях и инцидентах в выбранный интервал времени (при этом рекомендованный производителем системы срок хранения данных составляет три месяца, в архивах — до полугода). Информация в отчет подгружается в виде виджетов (доступны стандартные и пользовательские виджеты). Структура и внешний вид отчета настраиваются в удобном конструкторе с привычным интерфейсом, аналогичным Microsoft Word.

Сделаны и другие улучшения, нацеленные на повышение удобства работы с продуктом. Расшились варианты визуализации данных: появились новые диаграммы и табличная форма представления информации на дашбордах. Упростились наиболее актуальные сценарии работы оператора: например, теперь пользователь может создавать задачи сбора событий и сканирования активов путем копирования уже существующих, что позволило сократить время внедрения SIEM в крупной инфраструктуре почти в два раза. Еще одно полезное новшество: возможность сравнивать состояния актива, информация о которых была собрана в разные моменты времени, или просмотреть все последовательные изменения его состояния между этим моментами. Это позволит сократить трудозатраты при расследовании инцидентов или анализе причин изменения уровня защищенности, а также уменьшить число необходимых для этого инструментов.

«MaxPatrol SIEM — уже зрелый продукт: на крупнейших проектах скорость обработки событий достигает 60 тысяч в секунду. Поэтому сейчас мы сфокусировались на том, чтобы упростить процессы, которые ранее были сложными и занимали много времени. С этой задачей, например, справляются конструкторы правил корреляции и отчетов, которые появились в новой версии», — прокомментировал директор Positive Technologies по разработке продукта MaxPatrol SIEM Алексей Андреев.

За прошедшие четыре года с момента выхода продукта на рынок, он внедрен более чем в 150 компаниях промышленной, транспортной и финансовой отраслей, а также в государственных учреждениях и органах власти. По итогами сследования, проведенного компанией IDC в 2018 году, MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM-систем, занимая на нем 24,5%. 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp не удаляет ваши файлы у собеседников, использующих iPhone

Функция WhatsApp, позволяющая удалить ваши сообщения у собеседников, как оказалось, не до конца отрабатывает на iPhone, оставляя отправленные медиафайлы на смартфонах от Apple. Представители мессенджера заявили, что не считают это уязвимостью.

Напомним, что разработчики внедрили возможность удалить отправленное по ошибке сообщение для собеседника два года назад. С тех пор многих пользователей не раз выручала данная функция.

Если вы ошиблись адресатом, WhatsApp даёт вам 1 час 8 минут и 16 секунд на его удаление для всех участников чата.

Однако в случае с iPhone мессенджер не удаляет медиафайлы, сохранённые на смартфоне. Если же участники беседы используют Android, отправленные ошибочно файлы будут удалены с устройства.

Проблему конфиденциальности обнаружил исследователь Шитеш Сачан, консультант в области безопасности приложений.

Баг проявляет себя в том случае, когда у получателя, использующего iPhone, установлены настройки WhatsApp по умолчанию — сохранять принимаемые медиафайлы на устройстве. Стоит отметить, что эти настройки редко кто меняет.

Команда безопасности WhatsApp заявила эксперту, что вышеозначенная функция призвана удалить сообщение в чате. А застраховать от различных нестандартных ситуаций — сохранения файлов вручную, снятия скриншота чата — она не может.

Похожий баг недавно был обнаружен у главного конкурента WhatsApp — Telegram. Оказалось, что получатель мог просмотреть содержимое сообщения даже после его удаления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru