MaxPatrol SIEM

Управление информацией ИБ, анализ и мониторинг событий безопасности в режиме реального времени.

Производитель: Positive technologies

MaxPatrol SIEM является ключевым элементом универсальной платформы средств безопасности Positive Technologies, в основе которой лежит сбор и анализ информации обо всех активах и событиях защищаемой системы.

Преимущества

  • Акцент на реальных задачах

MaxPatrol SIEM создан для решения насущных задач ИБ — универсального сбора событий, простого представления данных, легкой работы с новыми источниками — и предлагает богатые и постоянно развивающиеся функции корреляции, эффективную работу с большими объемами данных, автоматизацию процессов администрирования.

  • Активоцентрическая модель — всесторонний анализ и понимание инфраструктуры

MaxPatrol SIEM оперирует не только событиями ИБ, но и состояниями активов в любой момент времени. Система собирает всю информацию о сети, узлах, конфигурациях и т. п., моделируя инфраструктуру организации. Это позволяет связывать события со свойствами элементов инфраструктуры, выявляя действительно опасные инциденты.

  • Гибкость платформы

Модульная архитектура позволяет построить любую конфигурацию системы, которая отвечает требованиям заказчика и не содержит избыточной функциональности, что дает существенную экономию средств при внедрении.

  • Легкая миграция

Благодаря поддержке производителя, а также техническим инновациям, заложенным в продукте, внедрение и переход с других решений на MaxPatrol SIEM осуществляются безболезненно для бизнес-процессов.


Основные задачи MaxPatrol SIEM

Корпоративные системы сегодня сложнее и крупнее, чем когда-либо, а обеспечение их безопасности — непрекращающийся процесс. Компании стремятся защитить свою интеллектуальную собственность, клиентскую информацию, финансовые документы при помощи целого комплекса программно-аппаратных средств. Однако степень защищенности компаний от киберпреступников остается низкой. Так, согласно данным Positive Research 2016, 76% корпоративных систем, находящихся в коммерческой эксплуатации, содержат уязвимости разной степени опасности, позволяющие злоумышленникам получить полный контроль над системой или отдельными ее узлами.

IТ-инфраструктура компаний гетерогенна и состоит из большого количества элементов (устройств и приложений) при работе которых формируются журналы событий различных форматов, с разной интенсивностью поступления данных. Для обработки потока событий и выявления инцидентов ИБ и реагирования на них применяют специализированный класс решений — системы SIEM (security information and event management).

Однако на практике эффективность работы большинства SIEM остается низкой из-за следующих факторов:

  • комплексность SIEM и многообразие настроек значительно осложняют их использование и требуют привлечения высококвалифицированного и дорогостоящего персонала;
  • часто отчеты, формируемые SIEM-системами, плохо структурированы и трудны для восприятия, что приводит к необходимости корректировать их вручную перед предоставлением руководству или нетехническим специалистам;
  • удаленность R&D поставщика систем SIEM от заказчика обуславливает слабое покрытие источников данных, разрозненность и низкое качество обрабатываемой информации.

Функции и особенности MaxPatrol SIEM

Система MaxPatol SIEM была создана на основе опыта Positive Technologies в области противодействия кибератакам, работает на базе высокопроизводительной и гибкой платформы MaxPatrol и позволяет выполнять:

  • удаленный сбор данных без установки агентов на целевые системы;
  • сбор данных не только о событиях, но и о конфигурациях, результатах сканирования, состоянии узлов, сетевой активности;
  • постоянное обогащение активов данными из событий и в то же время обогащение событий данными об активах.

В MaxPatrol SIEM реализован ряд уникальных технологий:

Активоцентрическая модель

История конфигурации актива

Модельные корреляции

MaxPatrol SIEM использует любую информацию об активах в правилах корреляции, начиная с перечня установленного ПО, прав доступа и открытых портов, заканчивая списком уязвимостей. Это помогает максимально точно выявлять инциденты безопасности и минимизировать ложные срабатывания — за счет использования всегда актуальной информации.

Гибкий язык описания корреляционных правил

Логика работы правил корреляции описывается на специальном декларативном языке. Язык постоянно развивается и позволяет решить задачу любой сложности.

Простая и удобная работа с событиями и инцидентами

Гибко настраиваемое представление событий позволяет легко менять порядок отображаемых полей и сортировать данные одним кликом.

Производитель: Positive technologies

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
Министерство
НацБанк
сбер
 Monamie
ЦеснаГарант