MaxPatrol SIEM
Встроенный ML-помощник повышает эффективность обнаружения атак
Positive Technologies представила новую версию системы мониторинга событий ИБ MaxPatrol SIEM — 27.6. Улучшения направлены на то, чтобы сделать взаимодействие с системой еще удобнее и ускорить расследование киберинцидентов. В частности, расширены возможности AI/ML-модуля MaxPatrol BAD.
Теперь сотрудники SOC могут группировать данные по нескольким параметрам, например, о событиях безопасности прямо в MaxPatrol SIEM, не прибегая к дополнительным инструментам. Группировка может осуществляется сразу по нескольким параметрам, например времени, адресу и характеру события. Иерархия параметров зависит от порядка, в котором они были указаны, и сохраняется даже при экспорте. Обновление позволяет специалистам работать в едином окне, не переключаясь между программами и вкладками.
В рамках обновления MaxPatrol SIEM российскому рынку впервые была представлена функция, позволяющая с помощью ML-технологии объединять однотипные события в кластеры. Для каждого кластера автоматически формируются регулярные выражения, что незаменимо при работе с табличными списками и событиями.
В новом релизе значительно улучшен AI/ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Производительность решения выросла почти в два раза1, что позволяет обрабатывать до 25 тыс. событий в секунду. Кроме того, MaxPatrol BAD пополнился 15 новыми моделями машинного обучения. Теперь модуль обнаруживает попытки несанкционированного доступа к базам данных, например ClickHouse и PostgreSQL, а также признаки атак AS-REP Roasting и Kerberoasting. Обе атаки просты в исполнении и могут привести к компрометации паролей доменных пользователей, при этом детектировать их с помощью статических правил и сигнатур не эффективно. Среди других улучшений — автоматическое удаление старых данных при переполнении SSD и возможность отправки данных на syslog-сервер. Кроме того, теперь подозрительная активность процессов, обнаруженная MaxPatrol BAD, регистрируется в MaxPatrol SIEM в виде исходных событий, доступных для нормализации или использования в правилах корреляции.
1 В MaxPatrol SIEM поток событий, который может обработать анализатор поведения, увеличен с 15 000 до 25 000 событий в секунду (EPS).
«Регулярные обновления экспертизы MaxPatrol SIEM — результат непрерывной работы экспертов Positive Technologies, изучающих тактики и техники злоумышленников. Сейчас новые экспертные правила поставляются в систему каждые две недели, а для трендовых уязвимостей — в течение трех дней. В этом году мы намерены ускорить наполнение продукта актуальными знаниями о киберугрозах за счет развития механизмов машинного обучения. Общее число ML-моделей в MaxPatrol BAD уже достигло 87, причем в MaxPatrol SIEM 27.6 они используются не только для выявления аномалий и нетипичного поведения в IT-инфраструктуре, но и для более прозрачной оценки риска».
Кирилл КирьяновРуководитель экспертизы MaxPatrol SIEM, Positive Technologies
Команда разработки MaxPatrol SIEM продолжает повышать удобство управления системой. Для этого была реализована возможность отмены запущенного PDQL2-запроса до его завершения. Открытие новой вкладки больше не инициирует автозапуск такого запроса. Появилась подсветка полей, которые используются для фильтрации. Она позволяет аналитику быстро расставить акценты в работе.
Среди других изменений — возможность подключаться к MaxPatrol SIEM 27.6 по протоколу SAML 2.0 с помощью внутренней системы единого входа. Опция позволяет настроить сквозную аутентификацию для всех приложений в IT-инфраструктуре. В дальнейшем число поддерживаемых протоколов будет увеличиваться.
Помимо этого, чтобы не зависеть от ограничений со стороны почтовых серверов, специалисты по ИБ могут сохранять данные отчетов и экспортируемые записи в общую папку службы каталогов Samba. Уменьшить сетевую нагрузку при работе с большими потоками событий позволяет сжатие данных, передаваемых в хранилище LogSpace, при помощи алгоритма Zstandard (zstd).
2 Positive Data Query Language, PDQL — язык, который разработан в Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков в MaxPatrol SIEM.
Пользователи обновленного MaxPatrol SIEM могут ограничивать время выполнения подзадач сбора данных. По истечении отведенного срока система начнет собирать информацию со следующего актива. Обновление помогает выполнять аудит инфраструктуры в выбранный интервал сканирования, причем изменять расписание и запрещенные интервалы теперь можно сразу для нескольких задач сбора данных. При заведении источников в MaxPatrol SIEM пользователи теперь могут вручную указать MIME-тип3 для событий, которые собираются с помощью модуля Syslog.
Новые функции доступны пользователям после обновления MaxPatrol SIEM до версии 27.6. Для установки версии обратитесь в техническую поддержку Positive Technologies. Подробнее о новой версии продукта читайте на сайте.
3 Multipurpose Internet Mail Extensions, MIME — стандарт, определяющий формат содержимого файлов, передаваемых через интернет.
