MaxPatrol 360 — это унифицированная платформа для управления расследованиями и операционной деятельностью SOC, которая дополнила ассортимент решений Positive Technologies. Данный инструмент позволяет специалистам SOC и сотрудникам отделов информационной безопасности централизованно контролировать защиту инфраструктуры и управлять процессами SOC через единый интерфейс, ускоряя реагирование на инциденты и их расследование, а также сокращая долю ручных операций. Об этом CNews проинформировали представители компании Positive Technologies.
Главная отличительная черта MaxPatrol 360 заключается в комплексной поддержке работы SOC. К примеру, продукт предлагает централизованное управление экспертизой SIEM-системы и контроль её распространения между множеством инстансов. Эта возможность особенно востребована у клиентов, которые управляют большим количеством ИТ-систем или обеспечивают безопасность нескольких компаний. Для повышения качества анализа событий от средств защиты информации (СЗИ) необходимо, чтобы защищаемые организации применяли единые модели поведения и подходы к выявлению подозрительной и вредоносной активности, а также обрабатывали создаваемые события ИБ унифицированно в режиме единого окна. В свою очередь, поддержка мультитенантности даёт возможность централизованно управлять десятками инфраструктур в рамках одной консоли. Благодаря унификации детектирующих методик и централизации работы в единой консоли эффективность команд ИБ, использующих MaxPatrol 360, повышается на 30–50%. Ещё одной особенностью MaxPatrol 360 является его гибкость и масштабируемость: клиенты и интеграторы могут самостоятельно создавать и добавлять нужные интеграции и коннекторы через открытый API, что позволяет адаптировать продукт под бизнес-потребности.
Для управления расследованиями и автоматизации обработки киберинцидентов MaxPatrol 360 собирает данные от средств защиты, развёрнутых в инфраструктуре. Это могут быть как решения из экосистемы вендора, так и продукты сторонних производителей. Например, с помощью решений Positive Technologies клиенты могут с минимальным числом ложных срабатываний выявлять нелегитимную и вредоносную активность в сетевом трафике (PT NAD) и на конечных узлах (MaxPatrol EDR, MaxPatrol EPP), нетипичное поведение в логах (MaxPatrol SIEM), а также уязвимости на активах (MaxPatrol VM).
Продукт подходит для компаний любого размера, независимо от их сферы деятельности.
«MaxPatrol 360 представляет собой новый подход к управлению киберустойчивостью распределённых инфраструктур. Мы предлагаем единое решение с современным технологическим стеком, которое автоматизирует рутинные задачи SOC и отделов ИБ, собирая в одном рабочем окне все события, инциденты и действия операторов. Продукт повышает прозрачность операционной деятельности команд ИБ и существенно влияет на их производительность, объединяя все алерты от СЗИ в общий контекст и при необходимости инициируя запуск защитных мер для реагирования или восстановления защищённости инфраструктуры», — отметил Иван Прохоров, руководитель продукта MaxPatrol 360.
При создании MaxPatrol 360 компания Positive Technologies опиралась как на мировой опыт развития продуктов в сфере информационной безопасности, так и на собственные наработки. В частности, при разработке коннектора к системе управления событиями ИБ MaxPatrol SIEM был учтен опыт эксплуатации и сопровождения системы в компаниях различного масштаба. В процессе проектирования MaxPatrol 360 применялись современные тенденции в оптимизации, автоматизации и ускорении разработки с использованием искусственного интеллекта и машинного обучения. Благодаря этим подходам в продукт были интегрированы модуль Incident Management для централизованной мультитенантной обработки инцидентов из разных источников, сервис централизованного администрирования экспертизы SIEM-системы, а также движок автоматизации и плейбуки.
MaxPatrol 360 уже выпускается в формате on-premise, а в скором времени появится и облачная версия. Система отличается простотой интеграции в рабочие процессы SOC и подразделений кибербезопасности: ее развертывание занимает всего час. При наличии уже установленных средств защиты информации и подготовленной инфраструктуры подключение и настройка сбора киберинцидентов с одного источника выполняется в несколько кликов, а специалист по информационной безопасности получает актуальные результаты уже в первые сутки работы с системой.
