![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Positive Technologies выпустила новую версию MaxPatrol EDR — продукта для выявления угроз на конечных устройствах и реагирования на инциденты. В релизе разработчики сделали упор на совместимость с разными операционными системами, расширение возможностей сбора данных и более гибкую работу с событиями информационной безопасности.
Больше поддерживаемых ОС
В новой версии MaxPatrol EDR заметно расширен список поддерживаемых платформ. Продукт теперь работает с «Альт Рабочая станция» и «Альт Сервер» версии 10.4, что важно для организаций, использующих российские ОС. Также добавлена поддержка Debian 13, Ubuntu 25.04 и Windows Server 2025.
Может работать автономно
Одна из ключевых особенностей релиза — MaxPatrol EDR теперь может использоваться как самостоятельное решение, без обязательной связки с другими продуктами Positive Technologies. Это позволяет развертывать защиту конечных устройств даже в условиях ограниченных аппаратных ресурсов. При этом возможность интеграции никуда не делась: продукт по-прежнему подключается к SIEM, SOAR и IRP — как от Positive Technologies, так и сторонних вендоров.
Собственные IoC и требования регуляторов
В обновлённой версии компании получили возможность проверять файлы с использованием собственных индикаторов компрометации (IoC). Также поддерживается проверка по IoC из внешних источников, включая бюллетени ФСТЭК — это особенно важно для субъектов КИИ.
Новый сбор данных на Windows
Для устройств под управлением Windows в MaxPatrol EDR появился новый модуль сбора данных, основанный на инструменте PT Dumper. Он может собирать более 40 категорий информации — как автоматически, так и вручную. Эти данные используются для выявления следов присутствия злоумышленников, внутреннего расследования инцидентов или передачи информации экспертам Positive Technologies в защищённом архиве.
Удобство для SOC и MSSP
При установке агента теперь можно добавлять текстовые метки с описанием устройства. Это помогает SOC-аналитикам и MSSP-провайдерам быстрее ориентироваться в инфраструктуре, настраивать политики безопасности и автоматизировать группировку агентов. Теги также упрощают поиск и фильтрацию устройств.
Усиление самозащиты
В новой версии усилены механизмы защиты самого агента. На Windows-устройствах вместе с EDR-агентом устанавливается драйвер самозащиты, который не позволяет удалить агент или вмешаться в его работу без авторизации.
Интерфейс и повседневная работа
Разработчики также обновили интерфейс: главное меню стало вертикальным и унифицировано с другими продуктами линейки Positive Technologies. В рабочей области теперь отображается больше данных, запуск командной строки доступен в один клик, а команды можно отправлять сразу на несколько устройств, не теряя контекст.
Обновление доступно в версии MaxPatrol EDR 9.0. После установки пользователи также получают возможность в течение шести месяцев бесплатно использовать антивирусный продукт MaxPatrol EPP.
