Positive Technologies представила улучшенную систему мониторинга событий информационной безопасности и управления инцидентами — MaxPatrol SIEM 8.2. Этот релиз направлен на повышение эффективности аналитиков, помогая им быстрее и точнее выявлять атаки, делегируя рутинные задачи интеллектуальным алгоритмам. Новая версия также включает расширенные сценарии использования машинного обучения, что делает её уникальной в своём роде.
Расширенные возможности машинного обучения
Главное новшество MaxPatrol SIEM 8.2 — задействование алгоритмов машинного обучения не только для подтверждения событий(second opinion), но и для выявления целенаправленных атак и неизвестных уязвимостей. Обновлённый мониторинг источников исключает слепые зоны, обеспечивая непрерывный контроль за инфраструктурой. Благодаря усовершенствованной системе хранения данных теперь можно в два раза больше информации на аналогичных ресурсах open-source решений, а централизованный поиск из единой точки доступа на базе СУБД LogSpace повысит общую оперативность реагирования.
Интеграция с ML-модулем BAD
Начиная с версии 8.0, MaxPatrol SIEM интегрирована с модулем поведенческого анализа BAD (Behavioral Anomaly Detection). В изначальном релизе модуль функционировал как инструмент второго мнения, подтверждая срабатывание правил корреляции через машинное обучение. В новой версии BAD значительно усовершенствован: теперь он способен выявлять даже неизвестные атаки и обходить стандартные правила корреляции. Встроенные 50 моделей машинного обучения, разработанных на основе 20-летнего опыта Positive Technologies, анализируют данные событий, пользователей и процессов, присваивая им риск-оценку. Операторы смогут обнаруживать аномалии как в Windows, так и в Unix-подобных системах и сетевом оборудовании.
Непрерывный мониторинг и исключение слепых зон
Для первоклассной защиты необходимо регулярно отслеживать состояние источников событий без слепых зон. MaxPatrol SIEM 8.2 позволяет контролировать полноту и качество данных со всех источников, выявлять неисправные или неправильно настроенные источники, и предоставлять рекомендации по их оптимальной настройке. Система содержит экспертные знания о мониторинге более 350 источников событий и требования к потоку данных, которые регулярно обновляются на основе опыта экспертов Positive Technologies.
Улучшенная СУБД LogSpace для управления данными
Систему баз данных LogSpace, разработанную специально для хранения больших объемов данных о событиях ИБ и ИТ, теперь можно использовать в географически распределённых инфраструктурах. Новая версия поддерживает горизонтальное масштабирование, фильтрацию и обработку событий из различных конвейеров в одном приложении. Возможности горячего и теплого хранения снижают затраты на долгое хранение данных в четыре раза, без компромиссов в скорости анализа.
Опыт Positive Technologies в расследовании инцидентов, накопленный за 20 лет, был воплощен в обновленной версии MaxPatrol SIEM 8.2. Эффективный инструмент для анализа и управления инцидентами, эта система станет неотъемлемым элементом в арсенале каждого специалиста по ИБ.
