Тренды

78% атак
в 2023 году были целенаправленными
Топ-3 ВПО
которое злоумышленники используют прямо сейчас: шифровальщики, инфостилеры, ВПО для удаленного доступа
Угрозы для разных систем
Злоумышленники осуществляют активный поиск уязвимостей в российских ОС на базе Linux и расширяют возможности проникновения в разные ОС за счет портирования ВПО (языки Golang, Rust, Nim и др.)

Обзор MaxPatrol EDR

Одновременно с бурным развитием IT-инфраструктур компаний совершенствуются хакерские инструменты и техники, атаки злоумышленников становятся сложнее и могут обходить традиционные средства безопасности.

Чтобы вовремя их обнаруживать и уверенно реагировать, чрезвычайно важно понимать контекст происходящего на конечных устройствах, отслеживать угрозы в динамике, связывать отдельные события в целостную картину и формировать цепочки атак.

MaxPatrol EDR поможет оперативно выявлять сложные угрозы и целевые атаки, обеспечит уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов построения ИБ в вашей компании.


На ранних этапах выявляет развивающиеся на устройствах атаки, которые могут пропустить другие средства ИБ.
Собирает важные данные для проведения расследований.
Останавливает злоумышленника за считанные секунды.
Помогает аналитикам SOC и руководителям служб ИБ расследовать и предотвращать атаки, блокируя действия злоумышленников на конечных устройствах.

Узнайте, как будем защищать конечные точки завтра

85% организаций не исключают компрометацию своей сети в течение года.
Уверены, что антивирус спасет от сложных атак?

Узнать

Сценарии использования продукта

Выявление и расследование сложных атак

Злоумышленники постоянно совершенствуют свои инструменты и техники. Чтобы обойти традиционные средства защиты, вредоносное ПО маскирует свои действия под легитимные. Для обнаружения АРТ-угроз на конечных устройствах важно уметь выявлять эксплуатацию уязвимостей, повышение привилегий, разведку, закрепление в системе и другие тактики и техники атакующих.

MaxPatrol EDR:

  • Выявляет сложные атаки на ранних этапах с помощью динамического и статического анализа.
  • Маркирует обнаруженные техники атакующих в соответствии с матрицей MITRE ATT&CK.
  • Передает файлы для глубокой проверки в PT Sandbox и другие внешние системы.
Выявление и расследование сложных атак

Остановка вредоносных действий

Продвинутые атаки выполняются в несколько этапов, и прежде чем инфраструктуре будет нанесен реальный ущерб, может пройти много времени.

MaxPatrol EDR:

  • Обнаруживает угрозы на ранних этапах и может реагировать на них до того, как злоумышленники реализуют недопустимое событие.
  • Позволяет реагировать на угрозы в ручном или автоматическом режиме.
  • Позволяет гибко настраивать правила реагирования, исходя из потребностей организации и задач SOC.
  • Дает богатый выбор действий реагирования — для обеспечения необходимого уровня безопасности на серверах и рабочих станциях:
    • - изолирование узлов;
    • - завершение процессов;
    • - удаление вредоносных файлов;
    • - блокировка опасных подключений;
    • - дополнительный анализ подозрительных процессов.
Остановка вредоносных действий

Защита узлов на базе отечественных ОС

Большинство организаций используют в инфраструктуре комбинацию операционных систем: Windows, macOS, ОС на базе Linux. Злоумышленники знают, как атаковать каждую из них. Они портируют вредоносное ПО под различные системы и постоянно ищут новые уязвимости.

С помощью MaxPatrol EDR можно защищать все популярные ОС, включая отечественные. При этом развернуть агенты легко: все необходимые дистрибутивы под рукой, в удобной единой веб-консоли, а также есть инструменты группового администрирования.

Защита узлов на базе отечественных ОС

Аудит рабочих станций для поиска уязвимостей

Управление уязвимостями на конечных устройствах — важный процесс, требующий слаженной работы двух подразделений. Специалисты по ИБ обнаруживают уязвимости на серверах, рабочих станциях и на ноутбуках удаленных сотрудников и определяют, какие следует устранить в первую очередь. IT-специалисты имплементируют результат анализа, внедряют патчи и вносят изменения в конфигурацию систем. На эффективность этого взаимодействия влияют технические и организационные сложности, особенности процессов внутри компании.

Использование MaxPatrol EDR позволяет:

  • разгрузить сетевой сканер,
  • снизить задержки при повторном сканировании
  • обеспечить быструю обратную связь об устранении уязвимостей;
  • отказаться от выделения специальных учетных записей для проведения аудита.

Обнаружение угроз в закрытых IT-сегментах

MaxPatrol EDR содержит всю необходимую экспертизу для самостоятельного устранения угроз. Продукт не полагается на данные из внешних источников или репутационные базы. Это возможно за счет применения поведенческого анализа, коррелятора на узлах и постоянного обновления правил от PT Expert Security Center.

Возможности MaxPatrol EDR:

  • Автономная работа агентов: анализ и реагирование без обращения к серверу управления.
  • Поставка обновлений экспертизы в закрытые сегменты сети без доступа в интернет (через промежуточный сервер для односторонней передачи данных).
Обнаружение угроз в закрытых IT-сегментах

Уникальные преимущества MaxPatrol EDR

Молниеносная реакция на узлах
Предоставляет богатый выбор действий для автоматического и своевременного реагирования: остановка процесса, удаление файлов, изоляция устройства, отправка на анализ, синкхолинг.
Своевременное и непрерывное обнаружение ВПО
Поставляется с набором экспертных правил PT ESC, благодаря чему способен выявлять угрозы и популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux).
Обнаружение угроз в динамике
Обнаруживает атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, BASH), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе.
Легкое встраивание в инфраструктуры
Выступает в роли единого агента для обнаружения, реагирования, сбора телеметрии и информации об уязвимостях на узлах. Поддерживает работу на всех популярных операционных системах и в закрытых сегментах.

Какие техники MITRE ATT&CK выявляет MaxPatrol EDR

Матрица MITRE ATT&CK описывает тактики и техники, которыми злоумышленники пользуются в своих атаках на корпоративную инфраструктуру. Узнайте какие из них можно успешно выявить с MaxPatrol EDR.

Узнать

Подходит для различных организаций

Экономит ресурсы и время специалистов
Построение эшелонированной защиты на базе комплексных решений или интеграции нескольких продуктов не всегда вписывается в бюджет организации. МахРаtгоl ЕDR позволяет начать решать задачу защиты устройств сотрудников и организации без чрезмерных затрат, постепенно выстраивая процессы ИБ.
Не конфликтует с другими СЗИ
Организации могут использовать несколько защитных решений, дополняя экспертизу разных вендоров без влияния на бизнес-процессы.
Учитывает особенности инфраструктуры
Позволяет гибко настроить политики обнаружения и реагирования с учетом архитектуры. Поддерживает идеальный баланс между нагрузкой на узлы и обеспечением требований S0С.
Автоматизирует функции реагирования
Часто EDR-решения не предлагают автоматических реакций, кроме остановки процессов или удаления файлов.В МахРаtrol EDR вы можете управлять логикой и использовать все доступные опции реагирования как вручную, так и автоматически.
Работает в закрытых сегментах
Не требует для работы доступа в интернет. Поставка обновлений экспертизы возможна через промежуточный сервер для односторонней передачи.
Предоставляет привычную логику и интерфейс
МахРаtrol EDR создан в едином стиле продуктов Positive Technologies и предоставляет знакомые сущности, авторизацию, сервисы и кросс-продуктовые сценарии, обеспечивая пользователю легкий старт.

Видео

Установка агентов
Установка агентов
Настройка политик
Просмотр результатов и реагирование

Как работает MaxPatrol EDR

Схема работы

Стоимость продукта

Права на использование программного изделия Positive Technologies Endpoint Detection and Response предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу.

Контактная информация

Материалы

Описание продукта
Сертификат соответствия ФСТЭК России
Документация на справочном портале
Руководство администратора на русском языке
Руководство разработчика на русском языке
Руководство быстрого старта на русском языке
Сценарии использования MaxPatrol EDR