Positive Technologies выпустила обновленную версию системы мониторинга информационной безопасности MaxPatrol SIEM — 27.6. Основные усовершенствования призваны повысить удобство работы с платформой и ускорить анализ кибератак. В частности, были расширены функции AI/ML-модуля MaxPatrol BAD.
Теперь аналитики SOC могут выполнять группировку данных по нескольким критериям, таким как параметры инцидентов безопасности, непосредственно в интерфейсе MaxPatrol SIEM, без необходимости использовать сторонние средства. Группировка поддерживается одновременно по различным атрибутам, включая временные метки, IP-адреса и тип происшествия. Иерархия критериев определяется порядком их выбора и остается неизменной даже при выгрузке данных. Это обновление позволяет специалистам сосредоточиться в едином рабочем пространстве, минимизируя переключения между приложениями и вкладками.
В рамках данного релиза на российском рынке впервые представлена функция, которая с применением машинного обучения объединяет схожие события в кластеры. Для каждого кластера автоматически генерируются регулярные выражения, что особенно полезно при анализе табличных данных и потоков событий.
В новой версии существенно доработан AI/ML-модуль MaxPatrol BAD, интегрированный с MaxPatrol SIEM. Производительность решения увеличилась почти вдвое, обеспечивая обработку до 25 тысяч событий в секунду. Кроме того, в MaxPatrol BAD добавлено 15 новых моделей машинного обучения. Теперь модуль способен выявлять попытки несанкционированного доступа к базам данных, таким как ClickHouse и PostgreSQL, а также признаки атак AS-REP Roasting и Kerberoasting. Эти атаки относительно просты в реализации и могут привести к раскрытию паролей пользователей домена, при этом их обнаружение с помощью статических правил и сигнатур малоэффективно. Среди других улучшений — автоматическая очистка устаревших данных при заполнении SSD-накопителя и возможность передачи данных на syslog-сервер. Также подозрительная активность процессов, выявленная MaxPatrol BAD, теперь фиксируется в MaxPatrol SIEM в виде исходных событий, которые можно нормализовать или использовать в правилах корреляции.
«Регулярное обновление экспертных возможностей MaxPatrol SIEM — это результат постоянной работы специалистов Positive Technologies, изучающих методы и приемы злоумышленников. В настоящее время новые экспертные правила поступают в систему каждые две недели, а для актуальных уязвимостей — в течение трех дней. В этом году мы планируем ускорить пополнение продукта актуальными данными о киберугрозах за счет развития механизмов машинного обучения, — подчеркнул Кирилл Кирьянов, руководитель экспертного направления MaxPatrol SIEM, Positive Technologies. — Общее количество ML-моделей в MaxPatrol BAD уже достигло 87, причем в MaxPatrol SIEM 27.6 они применяются не только для обнаружения аномалий и нестандартного поведения в ИТ-инфраструктуре, но и для более точной оценки уровня риска».
Разработчики MaxPatrol SIEM постоянно работают над улучшением эргономики платформы. Теперь появилась функция отмены уже запущенного PDQL-запроса до момента его окончательного выполнения. При открытии новой вкладки такой запрос больше не стартует автоматически. Также добавлена визуальная подсветка полей, задействованных в фильтрации, что помогает специалисту быстрее фокусироваться на ключевых аспектах анализа.
В числе прочих нововведений — поддержка подключения к MaxPatrol SIEM 27.6 по протоколу SAML 2.0 через корпоративную систему единого входа. Эта возможность позволяет организовать сквозную авторизацию для всех приложений в рамках ИТ-окружения. В будущем список доступных протоколов будет расширяться.
Кроме того, чтобы избежать ограничений, накладываемых почтовыми серверами, специалисты по информационной безопасности могут сохранять отчёты и экспортируемые записи в общий каталог службы Samba. Снизить нагрузку на сеть при обработке крупных потоков событий помогает сжатие данных, отправляемых в хранилище LogSpace, с использованием алгоритма Zstandard (zstd).
В обновлённой MaxPatrol SIEM пользователи могут устанавливать лимит времени на выполнение подзадач сбора информации. По истечении заданного периода система переходит к сбору данных со следующего актива. Это обновление способствует проведению аудита инфраструктуры в рамках выбранного интервала сканирования, при этом настраивать расписание и периоды запрета теперь можно одновременно для нескольких задач сбора. При добавлении источников в MaxPatrol SIEM пользователи также получили возможность вручную задавать MIME-тип для событий, собираемых через модуль Syslog.
Новые возможности становятся доступны после обновления MaxPatrol SIEM до версии 27.6. Для установки данной версии обратитесь в службу технической поддержки Positive Technologies.
