Справочный портал
MaxPatrol SIEM 8.2 (27.0) · Справка
Русский
О MaxPatrol SIEM

Positive Technologies MaxPatrol SIEM (да­лее та­к­же — MaxPatrol SIEM) — это си­сте­ма, ко­то­рая пред­на­зна­че­на для сбо­ра, хра­не­ния и ана­ли­за дан­ных о со­бы­ти­ях, про­ис­хо­дя­щих в IT-ин­фра­струк­ту­ре ор­га­ни­за­ции. Это поз­во­ля­ет обес­пе­чи­вать мо­ни­то­ринг ин­фор­ма­ци­он­ной без­опас­но­сти как всей ин­фра­струк­ту­ры, так и от­дель­ных под­раз­де­ле­ний, уз­лов и при­ло­же­ний.

MaxPatrol SIEM предо­став­ля­ет сле­ду­ю­щие ос­нов­ные воз­мож­но­сти:

  • Ин­вен­та­ри­за­ция ак­ти­вов. Си­сте­ма ре­гу­ляр­но со­би­ра­ет дан­ные о се­те­вых уз­лах и свя­зях меж­ду ними.
  • Сбор дан­ных о со­бы­ти­ях. В ка­че­стве ис­точ­ни­ка со­бы­тий мо­жет вы­сту­пать лю­бое под­дер­жи­ва­е­мое обо­ру­до­ва­ние или ПО.
  • Ана­лиз со­бы­тий для вы­яв­ле­ния ин­ци­ден­тов ИБ. На­бор спе­ци­аль­ных пра­вил, на ос­но­ве ко­то­рых вы­пол­ня­ет­ся ана­лиз, по­сто­ян­но по­пол­ня­ет­ся экс­пер­та­ми Positive Technologies.
  • Управ­ле­ние ин­ци­ден­та­ми ИБ. Си­сте­ма по­мо­га­ет ор­га­ни­зо­вать ра­бо­ту по рас­сле­до­ва­нию ин­ци­ден­тов ин­фор­ма­ци­он­ной без­опас­но­сти и устра­не­нию их по­след­ствий.
  • Ви­зу­а­ли­за­ция дан­ных. Свод­ная ин­фор­ма­ция об ак­ти­вах, со­бы­ти­ях и ин­ци­ден­тах отоб­ра­жа­ет­ся в веб-ин­тер­фей­се си­сте­мы в виде диа­грамм и таб­лиц.

MaxPatrol SIEM предо­став­ля­ет та­к­же до­пол­ни­тель­ные воз­мож­но­сти:

  • Па­ке­ты экс­пер­ти­зы. Ис­поль­зо­ва­ние базы зна­ний, раз­ра­бо­тан­ной экс­пер­та­ми Positive Technologies. База со­дер­жит дан­ные о са­мых со­вре­мен­ных так­ти­ках и тех­ни­ках ха­кер­ских атак и по­мо­га­ет вы­яв­лять даже слож­ные нети­по­вые ата­ки.
  • Ав­то­ма­ти­за­ция ра­бо­ты с ак­ти­ва­ми. Си­сте­ма мо­жет ав­то­ма­ти­че­ски уста­нав­ли­вать зна­чи­мость ак­ти­вов и сро­ки ак­ту­аль­но­сти дан­ных об ак­ти­вах, по­лу­чен­ных в ре­зуль­та­те ска­ни­ро­ва­ния IT-ин­фра­струк­ту­ры.
  • Ре­пу­та­ци­он­ные спис­ки. Ак­ту­аль­ная ин­фор­ма­ция о вре­до­нос­ных IP-ад­ре­сах и хеш-суммах опас­ных фай­лов ис­поль­зу­ет­ся для предот­вра­ще­ния ин­ци­ден­тов.
  • По­втор­ная про­вер­ка со­бы­тий. Ре­тро­спек­тив­ная кор­ре­ля­ция по­лу­чен­ных ра­нее со­бы­тий по­сле до­бав­ле­ния но­вых пра­вил или об­нов­ле­ния дан­ных таб­лич­ных спис­ков; ре­тро­спек­тив­ный по­иск ин­ди­ка­то­ров ком­про­ме­та­ции.
  • От­прав­ка уве­дом­ле­ний. Опо­ве­ще­ние опе­ра­то­ров об из­ме­не­ни­ях в IT-ин­фра­струк­ту­ре пред­при­я­тия, о ра­бо­те за­дач сбо­ра дан­ных, со­би­ра­е­мых со­бы­ти­ях, а та­к­же о вы­яв­ля­е­мых ин­ци­ден­тах ИБ.
  • Ин­те­гра­ция с PT NAD. Ре­ги­стра­ция ин­ци­ден­тов на ос­но­ве сес­сий и атак.
Архитектура MaxPatrol SIEM