MaxPatrol SIEM от Positive Technologies обновился до версии 5.0
Positive Technologies обновила систему выявления инцидентов MaxPatrol SIEM. Новая версия (5.0) позволяет проводить ретроспективный анализ и мониторинг информационной безопасности в распределенных инфраструктурах. А также, помимо прочего, в продукте появились конструкторы правил корреляции и отчетов.
В системе появилась возможность проводить ретроспективный анализ по индикаторам компрометации. С его помощью MaxPatrol SIEM поможет обнаружить атаку, произошедшую в прошлом, и предотвратить ее дальнейшее развитие. Продукт содержит ежедневно пополняемую базу индикаторов Positive Technologies, а также поддерживает индикаторы компрометации, разработанные «Лабораторией Касперского» и Group-IB. Пользователь системы должен разово активировать функцию проверки событий ИБ с помощью индикаторов компрометации, а далее MaxPatrol SIEM в автоматическом режиме запускает ретроспективный анализ при каждом пополнении базы индикаторов.
Одна из ключевых новинок — конструктор правил корреляции: теперь собственные правила пользователь может создавать в несколько кликов, не используя какой-либо специальный язык программирования. В конструкторе используются макросы для быстрой подстановки часто применяемых или сложных для самостоятельного написания фрагментов программного кода. Набор предустановленных макросов регулярно пополняется и может расширяться пользователем самостоятельно.
Расширились возможности мониторинга для компаний с крупной иерархической инфраструктурой: теперь можно получать актуальные данные о состоянии ИБ во всей организации в любой момент и выявлять распределенные атаки на инфраструктуру отдельного подразделения или целого предприятия. Инструментарий системы позволяет визуализировать архитектуру и иерархию развернутых конфигураций MaxPatrol SIEM и настроить прозрачные правила обмена информации между ними.
В новой версии MaxPatrol SIEM пользователи смогут формировать собственные отчеты с данными об активах, событиях и инцидентах в выбранный интервал времени (при этом рекомендованный производителем системы срок хранения данных составляет три месяца, в архивах — до полугода). Информация в отчет подгружается в виде виджетов (доступны стандартные и пользовательские виджеты). Структура и внешний вид отчета настраиваются в конструкторе с привычным интерфейсом, аналогичным Microsoft Word.
Помимо этого, расширились варианты визуализации данных: появились новые диаграммы и табличная форма представления информации на дашбордах. Упростились наиболее актуальные сценарии работы оператора: например, теперь пользователь может создавать задачи сбора событий и сканирования активов путем копирования уже существующих, что позволило сократить время внедрения SIEM в крупной инфраструктуре почти в два раза. Еще одно полезное новшество: возможность сравнивать состояния актива, информация о которых была собрана в разные моменты времени, или просмотреть все последовательные изменения его состояния между этим моментами. Это позволит сократить трудозатраты при расследовании инцидентов или анализе причин изменения уровня защищенности, а также уменьшить число необходимых для этого инструментов.
Смотреть все статьи по теме "Информационная безопасность"
