Компания Positive Technologies выпустила обновленную версию решения для обнаружения и реагирования на киберугрозы на конечных устройствах — MaxPatrol EDR. Ключевыми улучшениями стали поддержка большего числа популярных операционных систем, новый модуль сбора данных для устройств на Windows и расширенная совместимость с ОС «Альт». Об этом CNews сообщили в Positive Technologies.
Теперь решение способно функционировать автономно, а также сохраняет простую интеграцию с другими продуктами компании. Кроме того, в обновлении добавлены дополнительные сценарии обработки событий информационной безопасности, а организации получили возможность проверять файлы с помощью собственных индикаторов компрометации (IoC).
В новой версии MaxPatrol EDR усилена поддержка ОС «Альт», занимающей вторую позицию среди российских операционных систем. Теперь продукт работает на устройствах под управлением актуальных версий «Альт Рабочая станция» и «Альт Сервер» — 10.4. Также обеспечена совместимость с другими ОС: Debian 13 и Ubuntu 25.04, входящими в мировую десятку наиболее востребованных, и Windows Server 2025, которая занимает второе место в международном рейтинге серверных операционных систем.
Обновленный MaxPatrol EDR может работать изолированно от других решений Positive Technologies, что позволяет защищать конечные устройства даже при ограниченных аппаратных ресурсах. Таким образом, продукт поддерживает все варианты развертывания — как самостоятельную установку, так и интеграцию с другими решениями Positive Technologies, а также со сторонними системами класса SIEM, SOAR и IRP.
«Одно из ключевых направлений развития MaxPatrol EDR — обеспечение полной наблюдаемости за конечными устройствами, что достигается не только за счет широких возможностей сбора событий, но и благодаря их адаптации под специфику организации, — отметила Алена Караваева, руководитель направления защиты конечных устройств от целевых атак Positive Technologies. — Теперь компании могут анализировать файлы, применяя собственные индикаторы компрометации. Обновление также позволяет проводить проверку в соответствии с IoC, например, из бюллетеней ФСТЭК, что является обязательным требованием для субъектов критической информационной инфраструктуры».
Ряд нововведений в MaxPatrol EDR направлен на расширение возможностей мониторинга устройств под управлением Windows. В частности, в продукте появился новый модуль сбора данных, основанный на собственном инструменте компании — PT Dumper. Он позволяет в автоматическом или ручном режиме собирать информацию более чем по 40 категориям. Используя эти данные, организация может выявить признаки присутствия злоумышленников в инфраструктуре, провести внутреннее расследование инцидента или обратиться к специалистам Positive Technologies, предоставив доступ к защищенному паролем архиву с информацией о конечном устройстве.
В процессе инсталляции агента на рабочие станции ИТ-администраторы могут добавлять текстовые аннотации для специалистов по информационной безопасности, поясняющие роль устройства. Ясное понимание функций каждого узла позволяет аналитикам SOC и поставщикам управляемых сервисов безопасности более эффективно формировать правила защиты. Помимо этого, метки применяются для быстрого поиска, отбора агентов и их автоматического включения в соответствующие категории.
Эксперты Positive Technologies последовательно повышают уровень защищённости MaxPatrol EDR. Теперь при развёртывании агента EDR на Windows-устройства автоматически инсталлируется драйвер самозащиты: пока он активен, произвольное удаление агента или вмешательство в его функционирование исключено.
Значительные усилия разработчиков Positive Technologies были направлены на улучшение эргономики работы с платформой. Основное меню стало вертикальным и перемещено в верхнюю часть интерфейса, что обеспечило единообразие с остальными решениями линейки.
Возможность отображать в основном окне расширенный набор сведений, включая данные об агентах EDR, способствует ускорению их изучения. Запуск командной строки теперь выполняется одним нажатием на любом этапе работы, без необходимости открывать отдельное окно. Обновление также позволяет оператору направлять инструкции одновременно на несколько устройств, сохраняя при этом полный обзор требуемой информации.
Новые возможности станут доступны после перехода на MaxPatrol EDR версии 9.0. Также после установки актуальной версии пользователям будет предоставлена полугодовая бесплатная лицензия на использование нового антивирусного решения — MaxPatrol EPP.
