Производительность PT NAD выросла более чем на 30%

Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) — 12.3. Главное в релизе — рост производительности PT NAD на 30%, расширенные возможности централизованного мониторинга распределенных инфраструктур, добавление «облака» как опции для хранения метаданных, а также плейбуков для быстрого и точного реагирования на инциденты.

Команда PT NAD продолжает движение в сторону упрощения работы специалиста по информационной безопасности с продуктом. Так, в PT NAD 12.3 расширились возможности центральной консоли по управлению данными дочерних систем. Теперь операторы центральной консоли могут скачивать дампы трафика и переданные файлы, управлять ролями узлов и переименовывать их. Появилась возможность отключать отслеживание и менять статус выявленных активностей. В течение года команда PT NAD планирует реализовать централизованное управление исключениями и базой знаний, что позволит значительно упростить работу по обнаружению атак и администрирование PT NAD в географически распределенных сетях.

В результате комплексных изменений производительность продукта выросла более чем на 30%¹. Снижение требований к центральному процессору (CPU) на 30%, оперативной памяти (RAM) на 50% и SSD-хранилищу на 50% позволило уменьшить требования к «железу» для слабонагруженных систем PT NAD² практически в два раза.

Пользователи обновленной версии PT NAD могут хранить метаданные локально (во встроенном хранилище) либо перенести их в публичное или частное «облако». Облачное хранение метаданных позволит бизнесу оптимизировать расходы — платить только за необходимые объемы хранилища без потери скорости и контроля и гибко управлять глубиной хранения, а также обеспечить возможность легкого масштабирования PT NAD вслед за увеличением контролируемой инфраструктуры без бюджета на капитальные затраты.

В PT NAD 12.3 появились и новые инструменты для повышения эффективности SOC: обновленные экспертные модули, репутационные списки, а главной экспертной фичей нового релиза стали плейбуки по реагированию — документы, описывающие алгоритм проверки и реагирования на срабатывания сигнатур PT NAD и карточек ленты активностей. В этих документах эксперты приводят подробное описание атаки и шаги по проверке срабатывания на примерах из практики. Благодаря плейбукам, оператор PT NAD сможет сократить время реагирования на хакерскую активность в то время, когда промедление может грозить наступлением недопустимых событий. Система теперь индексирует нестандартные поля заголовков HTTP-сообщений, что расширяет возможности специалистов по информационной безопасности при проведении комплексного анализа во время расследования инцидентов и проактивном поиске угроз.

Кроме того, улучшены возможности интеграции. За счет увеличения объема данных об атаке, отправляемых по протоколу syslog, расширены возможности интеграции PT NAD с SIEM-системами. Добавлена поддержка персональных токенов доступа PT MC³, что значительно упрощает использование API PT NAD, в том числе из пользовательских скриптов.

1. Согласно внутренним тестам команды PT NAD.
2. Для инсталляций PT NAD 200/500/1000 и 2000 Мбит/c.
3. PT MC обеспечивает единую среду для аутентификации пользователей, управления их учетными записями и интеграции продуктов Positive Technologies.