• О компании
  • Новости
  • Обновленный MaxPatrol EDR: расширенные возможности для внедрения и для сбора данных
Новости

Обновленный MaxPatrol EDR: расширенные возможности для внедрения и для сбора данных

Positive Technologies, один из лидеров в области результативной кибербезопасности, представила новую версию продукта для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR. Главное в релизе — совместимость с еще большим количеством популярных ОС, новый модуль сбора данных с конечных устройств под управлением Windows и расширенная поддержка ОС «Альт». Теперь продукт может работать самостоятельно1, а также по-прежнему легко интегрируется с другими продуктами Positive Technologies. Помимо этого, в новой версии появились дополнительные сценарии для работы с событиями ИБ2, а компании могут проверять файлы, используя собственные идентификаторы компрометации (IoC).

В обновленном MaxPatrol EDR расширена поддержка ОС «Альт», которая занимает второе место в рейтинге российских операционных систем. Теперь продукт работает на устройствах под управлением одной из последних версий «Альт Рабочая станция» и «Альт Сервер» — 10.4. Есть поддержка и других операционных систем: Debian 13 и Ubuntu 25.04, входящих в десятку самых востребованных в мире, а также Windows Server 2025, второй в международном рейтинге серверных ОС.

Новая версия MaxPatrol EDR может работать независимо от других продуктов Positive Technologies, что позволяет обеспечить защиту конечных устройств в условиях нехватки аппаратных ресурсов. Таким образом, продукт обеспечивает все схемы развертывания — и независимую установку, и интеграцию с другими продуктами Positive Technologies, а также со с сторонними SIEM-, SOAR- и IRP-системами.

1 Версии до выхода MaxPatrol EDR 9.0 продукт устанавливался в связке с MaxPatrol SIEM, где отображались и хранились события.
2 События ИБ находятся теперь в собственной базе данных MaxPatrol EDR и могут содержать информацию о многочисленных сработках, которые попадают в базу различными способами, например из коррелятора.

«Одно из важных направлений развития MaxPatrol EDR — обеспечение полной видимости конечных устройств, достичь которой помогают не только широкие возможности для сбора событий, но и их адаптация к особенностям организации. Теперь компании могут проверять файлы, используя собственные IoC. Обновление позволяет также проводить проверку в соответствии с индикаторами компрометации, например, из бюллетеней ФСТЭК, что является обязательным для субъектов КИИ».

Алена Караваева
Алена КараваеваРуководитель направления защиты конечных устройств от целевых атак, Positive Technologies

Некоторые новшества в MaxPatrol EDR направлены на расширение возможностей мониторинга конечных устройств под управлением Windows. В частности, в продукте появился новый модуль для сбора данных, в основе которого лежит собственный инструмент Positive Technologies — PT Dumper3. Он в автоматическом или ручном режиме собирает более 40 категорий данных. Используя эти сведения, компания может узнать о присутствии злоумышленников в инфраструктуре, провести внутреннее расследование инцидента или обратиться за помощью к экспертам Positive Technologies, предоставив доступ к архиву с информацией о конечном устройстве, который защищен паролем.
 

3 PT Dumper — утилита, предназначенная для сбора информации (телеметрии) и анализа данных (поиска аномалий) на узлах под управлением Windows, Unix и macOS.

Теперь при установке агента на конечные устройства ИТ-специалисты могут оставлять для сотрудников подразделения ИБ текстовые метки с описанием устройства. Четкое представление о назначении каждого устройства помогает операторам SOC и MSSP4-провайдерам качественно настраивать политики безопасности. Кроме того, теги могут быть использованы для поиска, фильтрации агентов и автоматического распределения их в группы.
 

4 Managed security service provider (MSSP) — это внешняя организация (провайдер), которой делегировано управление средствами защиты информации.

Специалисты Positive Technologies продолжают усиливать безопасность MaxPatrol EDR. Теперь вместе с агентом EDR5 на конечное устройство под управлением Windows устанавливается драйвер самозащиты: пока он активирован, несанкционированно удалить агент или повлиять на его работу невозможно.

Особое внимание разработчики Positive Technologies уделили удобству взаимодействия с продуктом. Главное меню стало вертикальным и теперь располагается в верхней части экрана, интерфейс унифицирован с другими продуктами линейки.

Интерфейс продукта

 

5 Агент EDR — это приложение, которое необходимо установить на конечном устройстве для обнаружения угроз и реагирования на них.

Отображение в рабочей области большего объема данных, в том числе об агентах EDR, позволяет ускорить их анализ. Запустить командную строку теперь можно в один клик на любом этапе работы с продуктом, не открывая для этого дополнительное окно. Обновление позволяет оператору отправлять команды сразу нескольким устройствам, сохраняя в поле зрения всю необходимую информацию.

Новая функциональность станет доступна после обновления MaxPatrol EDR до версии 9.0. Кроме того, после установки последней версии пользователи смогут в течение полугода бесплатно использовать новый антивирусный продукт — MaxPatrol EPP.