MaxPatrol SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности. Он постоянно пополняется знаниями экспертов Positive Technologies о способах детектирования актуальных угроз и адаптируется к изменениям в защищаемой сети.
Подходит вам, если:
Хотите выявлять инциденты;
В инфраструктуре установлено множество разных средств защиты, но нет единой точки мониторинга безопасности;
Хотите построить SOC или центр ГосСОПКА;
Нужно обеспечить безопасность объектов КИИ, ИСПДН и/или ГИС;
Хотите заменить существующее SIEM-решение.
Ключевые преимущества
Быстро развивается Выходит 2 релиза в год,а команда продукта постоянно расширяется.
Регулярно получает экспертизу для обнаружения атак Ежемесячно в MaxPatrol SIEM приходят пакеты экспертизы с новыми правилами обнаружения угроз. Снижает порог входа в мир SIEM Продукт регулярно упрощается, что снижает затраты специалистов на работу в SIEM.
Свежие знания в Positive Technologies MaxPatrol SIEM
Не реже раза в месяц база знаний PT Knowledge Base пополняется пакетами экспертизы с новыми способами детектирования угроз. Пользователи MaxPatrol SIEM автоматически получают пакеты экспертизы из базы знаний.
Лидирующее российское решение
Продукт внедрен более чем в 250 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти. Согласно рейтингу IDC, MaxPatrol SIEM входит в топ-20 игроков на мировом рынке SIEM — единственный среди российских вендоров.
Maxpatrol SIEM Cистемные требования
Процессор: 2,5 ГГц, 4 ядра 2,5 ГГц, 4 ядра. Оперативная память: 8 Гб, 16 Гб. Жесткий диск: 1 Тб, SATA, от 7.200 об/мин 1 Тб, SATA, от 10.000 об/мин. Для всех компонентов MaxPatrol SIEM рекомендуется использовать сетевые подключения на скорости от 1 Гбит/сек. Компоненты поддерживают работу в следующих операционных системах: Microsoft Windows Server 2008 R2 SP1; Microsoft Windows Server 2012/2012 R2; GNU/Linux Debian 8.0 и выше.
Вопрос-ответ
Какие конфигурации MaxPatrol SIEM могут применяться в организации?
В зависимости от сложности IT-инфраструктуры организации могут применяться следующие конфигурации MaxPatrol SIEM:
Для низконагруженных систем. Рекомендуется для развертывания в организациях, которые рассчитывают выполнять периодическое сканирование узлов не чаще одного раза в месяц и получать поток событий от источников, не превышающий 3000 событий в секунду, и не планируют расширение своей IT-инфраструктуры.
Для средненагруженных систем. Рекомендуется для развертывания в организациях, которые рассчитывают получать поток событий от источников, не превышающий 10 000 событий в секунду, и планируют расширение своей IT-инфраструктуры.
Для высоконагруженных систем. Рекомендуется для развертывания в организациях, которые планируют получать поток событий от источников, не превышающий 30 000 событий в секунду.
Для сверхнагруженных систем. Рекомендуется для развертывания в организациях, которые планируют получать поток событий от источников, не превышающий 60 000 событий в секунду.
Как происходит сбор данных в MaxPatrol SIEM?
Сбор данных в MaxPatrol SIEM выполняется компонентом MP 10 Agent. Компонент имеет модульную структуру и, в зависимости от используемых модулей, может выполнять различные задачи по сбору данных из IT-инфраструктуры организации. Модули можно разделить по типам собираемых данных на следующие группы:
модули аудита — предназначены для поиска активов и сбора информации о них;
пассивного сбора событий — предназначены для приема событий, отправляемых источниками;
мониторинга — предназначены для сбора событий сразу после регистрации их на источниках;
модули для периодического сбора событий, сохраненных на источниках.
Для настройки модуля и указания особенностей сбора событий с конкретного источника или сбора информации об активе для модулей создаются шаблоны настройки — профили. Для доступа к источнику или активу в параметрах профиля можно выбрать учетную запись.
Что необходимо сделать для получения данных с IT-инфраструктуры организации в MaxPatrol SIEM?
Для получения данных с IT-инфраструктуры организации в MaxPatrol SIEM необходимо создать задачу. В задаче необходимо указать цели, с которых нужно получить данные, например IP-адреса или добавленные в систему активы (группы активов). Вы можете запускать задачу вручную или настроить запуск по расписанию. В рамках задачи система создает подзадачи, которые выполняются автоматически. В зависимости от выбранного в задаче профиля с помощью компонента MP 10 Agent запускается соответствующий модуль для сбора данных. Задачи могут использоваться для:
Обнаружения узлов. Система вносит информацию обо всех обнаруженных в IT-инфраструктуре организации активах в хранилище активов.
Сканирования активов методом черного ящика. Система обнаруживает открытые порты и сетевые сервисы на этих портах. Затем обнаруживает уязвимости на сетевых сервисах.
Аудита активов методом белого ящика. Система определяет детальную конфигурацию операционной системы, установленной на активе, перечень установленного на активе программного обеспечения, список открытых портов, перечень пользователей, которые зарегистрированы на активе. Формирует перечень уязвимостей и карту сети.
Сбора событий с источников. Система собирает события журналирования и привязывает их к активам, на которых они обнаружены. На основе собранных событий система обнаруживает события, связанные с рисками информационной безопасности, и регистрирует инциденты.
Поиска индикаторов компрометации в событиях. Система выполнит проверку полученных ранее событий на наличие в них индикаторов компрометации по данным табличных списков.
Ретроспективной корреляции событий. Система выполнит повторную проверку полученных ранее событий по выбранным правилам корреляции.
Импорта офлайн-журналов событий.
Какой алгоритм работы MaxPatrol SIEM?
Алгоритм работы MaxPatrol SIEM:
Коллекторы собирают данные об IT-инфраструктуре предприятия:
— модули компонента MP 10 Collector сканируют IT-инфраструктуру, собирают сведения о сетевых узлах и события с источников;
— компонент MP NAD Sensor собирает сведения о сетевых соединениях.
Собранные данные коллекторы передают в MP SIEM Server и MP 10 Core. Переданные события используются в MP SIEM Server для нормализации, агрегации, обогащения и корреляции.
Компонент MP 10 Core обрабатывает и хранит результаты сканирования с подробной информацией об обнаруженных ОС, ПО, службах, портах и прочими сведениями об узлах и связях между ними. Также компонент хранит параметры задач на сбор данных, профилей сканирования и транспортов, данные и сценарии справочников и осуществляет контроль доступа к этим данным, связываясь с остальными компонентами системы для выполнения пользовательских запросов.
Компонент MP SIEM Server обрабатывает входящий поток событий, приводит их к единому формату в соответствии с правилами нормализации и группирует их согласно правилам агрегации. Он также связывает события с активами и, при необходимости, создает новые активы на основе событий. Затем дополняет данные о событиях, используя правила обогащения или табличные списки, и анализирует поток нормализованных событий по правилам корреляции для выявления и регистрации событий информационной безопасности. MP SIEM Server передает компоненту MP SIEM Events Storage поступившие события в исходном (необработанном) и в нормализованном виде для хранения.
Компонент Knowledge Base содержит базу знаний, необходимых MaxPatrol SIEM для структурирования сведений, собранных от источников событий и объектов инфраструктуры.
Компонент PT MC обеспечивает доступ к системе через сервис единого входа и журналирует действия пользователей.
Для управления системой, просмотра данных, построения отчетов и мониторинга пользователь подключается к компоненту MP 10 Core через веб-интерфейс в соответствии с правами, которые назначены в PT MC.
Компонент PT CP доставляет данные об угрозах информационной безопасности и индикаторах компрометации.
Компонент PT RC обеспечивает возможность ретроспективной проверки полученных ранее событий, используя новые правила корреляции и данные из табличных списков.
Компонент PT UCS обеспечивает обновление компонентов системы и базы знаний.
Возможно ли развертывание MaxPatrol SIEM на нескольких площадках?
В крупных организациях вы можете развернуть в каждом подразделении одну из конфигураций MaxPatrol SIEM — локальную площадку. Каждая площадка имеет свой управляющий сервер — компонент MP 10 Core и свою базу активов и инцидентов. С помощью компонентов PT MC площадки связываются между собой, в результате чего синхронизируются учетные записи их пользователей, становятся доступными распределенный поиск событий и их репликация между площадками.
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
Быстро развивается
Регулярно получает экспертизу для обнаружения атак
Снижает порог входа в мир SIEM
Продукт внедрен более чем в 250 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти. Согласно рейтингу IDC, MaxPatrol SIEM входит в топ-20 игроков на мировом рынке SIEM — единственный среди российских вендоров.