Конечно, обдумывай "что", но еще больше обдумывай "как"!
И. Гете
Конечно, обдумывай "что", но еще больше обдумывай "как"!
И. Гете
Positive Technologies выпустила новую версию системы мониторинга событий информационной безопасности MaxPatrol SIEM — 7.0. Главное в новом релизе — поддержка операционных систем семейства Linux, возможность проводить распределенный поиск событий для выявления атак на крупные территориально разветвленные инфраструктуры, а также упрощение управления значимостью активов с точки зрения ИБ.
MaxPatrol SIEM 7.0 получил поддержку операционных систем семейства Linux. В 2020 году было приобретено свыше 1 млн лицензий на ОС Astra Linux, а общее число организаций, использующих данное ПО, более 4 тысяч. Теперь продукт могут развернуть государственные ведомства, госкорпорации, субъекты КИИ и организации, уже использующие Linux или переходящие на этот софт в рамках импортозамещения. Возможность установки MaxPatrol SIEM на отечественные дистрибутивы ОС особенно актуальна для российских компаний в современных реалиях. Система также поддерживает работу с Debian 10.
«Мы давно ощущали потребность клиентов в использовании единой платформы для всех компонентов продукта. Это значительно упрощает развертывание системы и ее эксплуатацию, что является основным приоритетом компании в развитии своих ИБ-решений. А поддержка отечественных дистрибутивов Linux упрощает выполнение требований по импортозамещению», — комментирует Роман Сергеев, менеджер по развитию продукта MaxPatrol SIEM, Positive Technologies.
По данным Positive Technologies, 15% специалистов по информационной безопасности относят мониторинг ИБ в подчиненных подразделениях к наиболее трудоемким действиям в SIEM-системе. Эта проблема характерна в первую очередь для организаций с крупной территориально разветвленной инфраструктурой. Благодаря распределенному поиску событий пользователи MaxPatrol SIEM видят общую картину ИБ и могут быстрее выявлять сложные нетиповые атаки, направленные на инфраструктуру как отдельного подразделения, так и всего предприятия в целом. События со всех инсталляций доступны оператору головной площадки для поиска, фильтрации, группировки, агрегации и выпуска по ним отчётов.
Узлы сетевой инфраструктуры, количество которых исчисляется десятками и сотнями тысяч, с точки зрения ИБ различаются по степени значимости. Чтобы операторы без необходимости не отвлекались на менее важные активы, в MaxPatrol SIEM 7.0 добавлена возможность присвоения значимости активам с помощью политики. Так, например, всем контроллерам домена можно присвоить высокий уровень значимости — функция работает автоматически, что избавляет пользователей MaxPatrol SIEM от рутинных операций. При этом в любой момент можно вручную переопределить значимость актива.
Начиная с версии 7.0 продукт поддерживает новое хранилище событий, специально разработанное Positive Technologies, — LogSpace. Его применение повышает эффективность использования дисковых ресурсов в 5–7 раз. Таким образом, пользователи MaxPatrol SIEM могут либо уменьшить свои затраты на аппаратное обеспечение, либо увеличить глубину хранения событий при тех же ресурсах, которые были у них ранее. Кроме того, у клиентов по-прежнему остается возможность использовать привычное хранилище Elasticsearch.
Кроме того, в MaxPatrol SIEM 7.0 повышена производительность коррелятора, отвечающего за выявление вредоносной активности: оптимизировано потребление оперативной памяти, увеличена пропускная способность и добавлена возможность использования нескольких ядер процессора.
Запросы для фильтрации событий теперь сохраняются в истории и доступны для повторного использования. Это изменение особенно пригодится операторам SIEM-системы при проверке гипотез с помощью PDQL-запросов во время расследований.
«MaxPatrol SIEM 7.0 — долгожданный релиз. В нем совмещены обновления, затрагивающие системные изменения (например, возможность использования ОС семейства Linux, включая сертифицированные версии, и переход к проприетарной базе данных, отвечающей запросам клиентов на обработку значительных потоков событий) и архитектурные — горизонтальное масштабирование для распределенного поиска событий. Также в новой версии системы есть множество улучшений, повышающих удобство оперативной работы аналитиков ИБ, расследующих инциденты кибербезопасности. Команда разработки MaxPatrol SIEM сделала значительную работу для эффективного использования продукта в распределенных средах крупных клиентов enterprise-сегмента», — подтверждает Эльман Бейбутов, руководитель направления мониторинга событий информационной безопасности Positive Technologies.
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.