Макспатрол сием что это
MaxPatrol SIEM All-in-One для небольших финансовых организаций
Выявляйте актуальные атаки и выполняйте требования ГОСТ Р 57580.1-2017
Соответствие MaxPatrol SIEM требованиям ГОСТ Р 57580.1-2017
Система выявления инцидентов MaxPatrol SIEM позволяет реализовать 105 технических мер ГОСТ, сделать IT-инфраструктуру прозрачнее и выявлять в ней атаки. Посмотрите, какие требования вы сможете покрыть с помощью MaxPatrol SIEM, мы их указали в документе.
Кому нужно выполнять требования ГОСТ Р 57580.1-2017
Что такое MaxPatrol SIEM All-in-One
MaxPatrol SIEM All-in-One дает полную видимость IT-инфраструктуры малого и среднего масштаба и выявляет инциденты ИБ. Продукт позволяет получить полноценную работающую SIEM-систему при меньшем бюджете.
Сколько стоит
Есть четыре варианта лицензии — на 100, 250, 500 и 1000 сетевых узлов. Лицензия на 100 сетевых узлов доступна только для финансовых организаций и стоит 2,2 млн руб. Эта стоимость рекомендована для авторизованных партнеров. Вы можете получить индивидуальный расчет стоимости, оформив заявку.
Чем MaxPatrol SIEM All-in-One лучше конкурентов
Как соответствовать требованиям ГОСТ Р 57580.1-2017
Посмотрите запись вебинара, чтобы узнать, в какие сроки нужно выполнить требования, как происходит оценка соответствия вашей организации требованиям ГОСТ и какие меры можно реализовать с помощью MaxPatrol SIEM All-in-One. А еще вы увидите интерфейс MaxPatrol SIEM.
Кому подходит MaxPatrol SIEM All-in-One
Продукт подходит компаниям с небольшой, но важной IT-инфраструктурой до 1000 сетевых узлов. Если в вашей IT-инфраструктуре хранятся чувствительные данные и ее взлом может привести к репутационным рискам, потере денег или нарушению работы компании, вам пригодится работающая SIEM-система.
В вашей инфраструктуре более 1000 узлов?
Если вы хотите отслеживать активность в крупной сети, попробуйте MaxPatrol SIEM с гибкой архитектурой, возможностью бесконечного масштабирования и иерархически-распределенных инсталляций.
Отзывы финансовых и других компаний
«С помощью MaxPatrol SIEM существенно повысилась скорость обработки инцидентов информационной безопасности».
«С внедрением решения MaxPatrol SIEM мы получили эффективный инструмент анализа в режиме реального времени всех событий безопасности, исходящих от множества сетевых устройств и приложений. Это позволило сотрудникам отдела информационной безопасности оперативно реагировать на любые события ИБ до наступления существенного ущерба. Время обработки событий также значительно сократилось».
«MaxPatrol SIEM All-in-One — это быстрый способ получить работающую SIEM-систему. За три месяца с помощью консультаций специалистов Positive Technologies нам самостоятельно удалось внедрить систему и настроить необходимые источники. Благодаря этому мы получили подробную картину IT-инфраструктуры и отслеживаем инциденты ИБ».
«На старте сотрудничества мы предъявили высокие требования как к производительности и стабильности работы решения, так и к его функциональным возможностям. Команда Positive Technologies серьезно доработала MaxPatrol SIEM, и сегодня продукт позволяет нам решать самые сложные задачи по мониторингу и выявлению кибератак».
«Среди наших инженеров даже образовалась группа поклонников MaxPatrol SIEM: многие видят его технологическое преимущество по сравнению с другими системами SIEM».
Max Patrol SIEM. Обзор системы управления событиями информационной безопасности
Введение
Друзья, добрый день.
Данную статью я хочу посвятить такому продукту, как MaxPatrol SIEM компании Positive Technologies уже более 17 лет разрабатывающей инновационные решения в области кибербезопасности.
В ней я постараюсь кратко описать основные задачи и мероприятия, с которыми сталкивается любой офицер ИБ во время своей деятельности и на примере продукта MaxPatrol SIEM рассказать, как их можно решить.
Также постараюсь описать его платформу и схему лицензирования.
Помимо этого приглашаю всех на вебинар, который состоится 8.04.2020 и будет посвящен продукту Platform 187 (5 продуктов в 1 сервере: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, «ПТ Ведомственный центр»). Подробности вебинара и регистрация доступны по ссылке — tssolution.ru/events/positive_187_08_04.
Заинтересовавшихся прошу подкат.
Итак, в начале обзора нам как всегда не обойтись без кусочка теории и начну я со знаменитого афоризма Натана Майера Ротшильда, который он произнес в июне далекого 1815 года при поражении Наполеона в битве при Ватерлоо, но который сегодня как никогда актуален: «Кто владеет информацией — тот владеет миром».
В нашем современном, цифровом мире, информация стала самым ценным активом не только коммерческих предприятий, но и государств. Простейший пример критичности информации на сегодняшний день — те же самые деньги граждан, которые в современном мире хранятся не под матрасами и в сундучках, а в цифровом виде на банковских счетах и являются по сути своей записями в той или иной базе данных.
Постоянный рост уровня телекоммуникаций, когда, теоретически, любой человек с доступом в сеть интернет может получить доступ к любой информации, которая может располагаться как на подключенных, так и не подключенных к глобальной сети интернет системах, способствует не прекращающемуся ни на мгновение росту «гонки вооружений» в сфере ИБ:
Мероприятия ИБ
А теперь перейдем к более приземленным вещам и рассмотрим типовой ландшафт атаки злоумышленника — их меч, которым они угрожают инфраструктуре предприятий.
Зачастую атака на любую информационную систему состоит из 3-х основных этапов:
В противовес этому инженеры ИБ со своей стороны выстраивают следующие защитные мероприятия — их щит, которыми они защищают инфраструктуру предприятий:
Друзья, сразу хочу обратить ваше внимание, что многие путают 2 таких понятия:
Отсюда возникают 3 таких важных критерия для любой системы SIEM:
Описание платформы
Перейдем теперь к самому продукту MaxPatrol SIEM от Positive Technologies. Сразу скажу, что разработчики компании поставили своей целью построить систему, обеспечивающую возможность проведения всех 3-х видов мероприятий в одном продукте:
Система может быть развернута как в программном (виртуализация), так и в аппаратном виде на физических серверах. Также есть несколько вариантов инсталляций системы, которые зависят в основном от количества регистрируемых событий в секунду EPS (нагрузки на систему) и особенностей сети предприятия.
Минимальная конфигурация (All-in-one)
В данной конфигурации все модули системы собраны на одном сервере.
Низко-нагруженная система
В данной конфигурации модуль MP Agent (сбор событий, проведение сканирований и аудита систем) выносится отдельно от остальных модулей.
MaxPatrol SIEM вошел в топ-20 мировых SIEM-систем
Компания IDC опубликовала рейтинг игроков на мировом рынке SIEM. Выручка MaxPatrol SIEM составила 30 млн долл., годовой прирост — 85%. За счет чего так выросли?
MaxPatrol SIEM
Детально знает вашу инфраструктуру — точно выявляет инциденты
Positive Launch Day 2021: запускаем PT XDR
14 декабря на онлайн-мероприятии Positive Launch Day 2021 мы запускаем PT XDR — новое комплексное решение для обнаружения угроз и реагирования на них. Расскажем, как компания пришла к рецепту «идеального XDR», анонсируем его финальный элемент — продукт для защиты конечных точек, продемонстрируем работу решения, а также разыграем ценные призы.
Обзор продукта
MaxPatrol Security Information and Event Management дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности. Он постоянно пополняется знаниями экспертов Positive Technologies о способах детектирования актуальных угроз и адаптируется к изменениям в защищаемой сети.
MaxPatrol SIEM теперь обрабатывает до 60 000 событий в секунду
MaxPatrol SIEM 6.2 позволит компаниям с территориально распределенной инфраструктурой увеличить скорость обработки данных до 60 000 EPS и оперативнее проводить расследования по всем инсталляциям.
Лидирующее российское решение
Свежие знания в MaxPatrol SIEM
Специалисты PT Expert Security Center и R&D-подразделений Positive Technologies постоянно исследуют новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Пакеты содержат новые правила, обновления параметров сбора и обработки событий ИБ, рекомендации по реагированию, репутационные списки. Пакеты автоматически передаются в MaxPatrol SIEM, благодаря чему пользователи выявляют актуальные угрозы до наступления серьезных последствий.
Правила корреляции в составе пакетов экспертизы легко адаптировать к особенностям вашей инфраструктуры. Для этого мы готовим подробные инструкции и белые списки, часть которых предзаполнены на основе нашего опыта работы с реальными инфраструктурами.
MaxPatrol SIEM выявляет атаки на СУБД MySQL
В MaxPatrol SIEM загружен очередной пакет экспертизы с набором правил обнаружения угроз. Установив пакет, пользователи MaxPatrol SIEM смогут выявлять подозрительную активность в СУБД MySQL Enterprise Edition. Это позволит оперативно локализовать атаки и не допустить утечки данных или вывода СУБД из строя.
Видит действия злоумышленников в трафике
Компонент Network Attack Discovery Sensor дает полную видимость того, что происходит в сети. Он глубоко разбирает сетевой трафик, пассивно собирает данные об IT-активах и выявляет атаки. Если злоумышленники пытаются расширить присутствие в инфраструктуре, украсть данные, проэксплуатировать уязвимости, применить хакерские инструменты, связаться с командным центром — вы узнаете об этом в режиме реального времени.
Обзор MaxPatrol SIEM
Компания Positive Technologies в этом году представила рынку свою систему мониторинга и корреляции событий безопасности — MaxPatrol SIEM 2.0. В данном обзоре мы познакомимся с архитектурой, особенностями и функциями этой новой российской SIEM-системы.
Сертификат AM Test Lab
Номер сертификата: 177
Дата выдачи: 14.11.2016
Срок действия: 14.11.2021
Введение
Проблема мониторинга инцидентов информационной безопасности, сбора и обработки большого числа событий от разных программных продуктов и средств защиты информации известна каждому ИБ-специалисту. В современных системах защиты используется множество разнообразных средств, каждое из которых генерирует сотни и тысячи событий ежеминутно. Кроме того, события от общесистемного ПО и операционных систем также содержат критически важную информацию. Ручная обработка событий безопасности не под силу даже самым большим отделам ИБ, а когда специалистов, обеспечивающих мониторинг и контроль системы защиты, всего несколько — задача становится и вовсе невыполнимой.
Для решения проблемы мониторинга и отслеживания инцидентов был создан класс решений, который называется SIEM — система мониторинга и выявления событий информационной безопасности. Решения данного класса предлагает целый ряд производителей — и мировые игроки рынка ИБ, и нишевые вендоры со специализированными продуктами. Российская компания Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартов — предложила собственное решение для управления событиями, включив его в линейку продуктов MaxPatrol. MaxPatrol SIEM — продукт, тесно интегрированный с другими решениями компании Positive Technologies, поддерживающий работу с большинством современных средств защиты, сетевых устройств и операционных систем. Вывод продукта на рынок состоялся менее двух лет назад — весной 2015 года, и всего спустя год компания отчиталась об охвате 10% рынка SIEM-решений. По данным Positive Technologies, эта доля продолжает расти, демонстрируя на сегодняшний день двукратный рост. Рассмотрим решение подробнее.
Функциональные возможности
MaxPatrol SIEM версии 2.0 позволяет организовать полный цикл работы с событиями безопасности и включает в себя следующие этапы:
При сборе информации из файлов поддерживается разбор простых текстовых файлов, форматов JSON, TABULAR и Windows EventLog.
Несмотря на относительно небольшой, по сравнению с конкурентами, набор готовых коннекторов к целевым системам «из коробки», специалисты Positive Technologies при проведении пилотных проектов и внедрений готовы реализовать поддержку любых источников данных, используемых заказчиком, в рамках технической поддержки.
Каждое событие безопасности проходит через специальную формулу нормализации и преобразовывается в структурированный объект. У объектов событий есть обязательные параметры — дата/время, идентификатор, актив (объект), к которому относится событие, тип действия и статус. Дополнительные параметры заполняются в зависимости от типа и параметров самого события. Формулы нормализации можно редактировать, поэтому поддержка новых типов и форматов событий, пока не реализованных в продукте, может быть быстро добавлена заказчиком самостоятельно либо вендором в рамках технической поддержки.
Корреляция событий безопасности — основная функция SIEM-систем, то, из-за чего их и применяют заказчики. С помощью правил корреляции в огромном объеме событий, генерируемых разными средствами защиты и системами, происходит автоматический поиск возможных инцидентов безопасности. Корреляция позволяет минимизировать работу администраторов безопасности по работе с журналами и сосредоточиться только на важных событиях. Поиск корреляций осуществляется методом взаимосвязи событий по заранее заданным правилам. В составе продукта присутствует большая база правил для поиска инцидентов и предусмотрена возможность обновления правил и их редактирование непосредственно в интерфейсе продукта. Каждое правило корреляции включает в себя условия для поиска событий, параметры глубины поиска, список исключений и сценарий действий при срабатывании правила. В сценарии правила может быть, например, прописано создание инцидента безопасности или уведомление отдельного сотрудника о событии.
Работа с инцидентами безопасности в MaxPatrol SIEM построена как процесс, включающий в себя автоматическое создание инцидентов при срабатывании правил корреляции, с возможностью назначения ответственных сотрудников для обработки инцидента и поддержкой разных этапов и стадий расследования.
Особенностью MaxPatrol SIEM является работа с инфраструктурой и активами — компьютерами и оборудованием в локальной сети. MaxPatrol SIEM автоматически собирает информацию об ИТ-инфраструктуре, строит схему (топологию) сети, анализирует версии операционных систем и установленное программное обеспечение, проводит сканирование портов и служб, включает в себя другие функции сканера безопасности. Данная возможность позволяет не только лучше анализировать возникающие инциденты и оценивать их с привязкой к схеме сети и конкретным компьютерам, но и снизить число ложных срабатываний за счет сопоставления событий с текущими параметрами хостов. Например, при обнаружении признаков атаки на отдельный компьютер можно сопоставить сетевые порты, через которые пытается получить доступ злоумышленник, со списком реально открытых портов и работающих сетевых служб.
Архитектура и системные требования
MaxPatrol SIEM — многокомпонентный продукт, который состоит из следующих модулей:
Системные требования компонентов MaxPatrol SIEM напрямую зависят от требуемой производительности, которая рассчитывается в количестве событий, собираемых и обрабатываемых за одну секунду. Данное число — события в секунду — обозначается как EPS (events per second).
Таблица 1. Системные требования для компонента Core
| До 6.000 EPS | До 10.000 EPS | До 15.000 EPS | |
| Процессор | 2 ГГц, 6 ядер | 2,5 ГГц, 6 ядер | 3,0 ГГц, 8 ядер |
| Оперативная память | 32 Гб | 48 Гб | 64 Гб |
| Жесткий диск | 2х600 Гб, SAS, от 10.000 об/мин, RAID1 | ||
Таблица 2. Системные требования для компонента Server
| До 6.000 EPS | До 10.000 EPS | До 15.000 EPS | |
| Процессор | 2,4 ГГц, 12 ядер | 2,6 ГГц, 14 ядер | 3,0 ГГц, 16 ядер |
| Оперативная память | 48 Гб | 64 Гб | 64 Гб |
| Жесткий диск | 2х600 Гб, SAS, от 10.000 об/мин, RAID1 + дополнительное хранилище для событий, объем рассчитывается отдельно | ||
Таблица 3. Системные требования для компонента Agent
| Scanner | Log Collector | |
| Процессор | 2,5 ГГц, 4 ядра | 2,5 ГГц, 4 ядра |
| Оперативная память | 8 Гб | 16 Гб |
| Жесткий диск | 1 Тб, SATA, от 7.200 об/мин | 1 Тб, SATA, от 10.000 об/мин |
Для всех компонентов MaxPatrol SIEM рекомендуется использовать сетевые подключения на скорости от 1 Гбит/сек.
Компоненты поддерживают работу в следующих операционных системах:
Для доступа к компонентам системы рекомендуется использовать браузеры Google Chrome 49 (и выше), Mozilla Firefox 45 (и выше) или Internet Explorer 11 (и выше).
Работа с продуктом
Вся работа с MaxPatrol SIEM осуществляется через веб-интерфейс, подключение выполняется к компоненту Core. Доступ к панели управления осуществляется на ролевой основе — для каждого пользователя задается своя роль, а полномочия в рамках ролей могут быть отредактированы. Также доступ для отдельных администраторов можно ограничить по группам узлов сети — активам, разрешив управление только компьютерами в своей зоне ответственности.
Управление компьютерами
Управление компьютерами в MaxPatrol SIEM осуществляется в разделе «Активы». Рабочий экран данной страницы разделен на три области — в левой части представлены группы компьютеров, далее отображается непосредственно список компьютеров в выбранной группе, и основную рабочую область занимает экран с различной информацией об активе.
Рисунок 1. Информация об активах (компьютерах и сетевом оборудовании) в MaxPatrol SIEM
По каждому элементу сети отображается информация о системе (версия ОС, BIOS, процессоры, материнская плата, жесткие диски, сетевые интерфейсы), список уязвимостей и история срезов состояний во времени. С помощью временного графика можно переключаться к информации о состоянии актива в любой период времени и смотреть диаграмму появления и устранения уязвимостей в перспективе.
Рисунок 2. Схема конфигурации сети в MaxPatrol SIEM
Дополнительно в MaxPatrol SIEM представлена схема сети с отображением маршрутов коммутации сетевых узлов. Данные для графа связей построены на основе сканирования хостов сети, анализа лог журналов целевых систем, сетевого трафика, полученного от модуля Network Traffic.
Рисунок 3. Настройка групп активов в MaxPatrol SIEM
Поиск и добавление новых активов происходит автоматически при сканировании сети и анализе сетевого трафика. Изначально все новые активы попадают во встроенную группу Unmanaged hosts. Активы можно распределять по произвольным группам, структурируя устройства в сети. Один актив может входить в несколько групп для возможности выделения групп по операционным системам, местоположению и т. д. Группы могут наполняться вручную администратором или автоматически на основе предопределенных правил, включающих в себя любые параметры узла — IP-адреса, версии операционных систем и т. д.
По каждому активу и группам активов настраиваются контекстные метрики CVSS (Common Vulnerability Scoring System) — данные о критичности станции и ее параметры, такие как требование к доступности, плотность целей, вероятность нанесения косвенного ущерба и другие. Данные параметры используются в правилах корреляции для определения степени критичности различных инцидентов.
Сбор событий
Настройка сбора данных включает в себя четыре основных группы — данные об учетных записях, настройка профилей сбора данных, управление задачами и правилами корреляции.
Рисунок 4. Параметры профиля в MaxPatrol SIEM
Профили сбора данных — список параметров и правил для осуществления доступа к удаленному узлу и выбора событий с этих узлов. В продукте есть множество предустановленных профилей сбора, при этом администраторы могут редактировать эти правила и создавать свои. Специалисты Positive Technologies также оказывают помощь в разработке и настройке правил сбора в рамках пилотных проектов и технической поддержки по существующим внедрениям.
Рисунок 5. Создание задачи на сбор данных в MaxPatrol SIEM
Рисунок 6. Список задач на сбор данных в MaxPatrol SIEM
Задача на сбор данных включает в себя выбор активов для сбора и параметров выбора профиля сбора, используемой учетной записи, транспорта и расписания запуска задачи.
Рисунок 7. Правила корреляции в MaxPatrol SIEM
Правила корреляции также настраиваются в разделе сбора данных. Они задаются с помощью встроенного языка запросов. Как и с профилями сбора, с продуктом идет набор предустановленных правил, дополнительные правила корреляции можно разработать самостоятельно или призвать на помощь компанию-интегратора.
Рисунок 8. Список событий в MaxPatrol SIEM
Собранные события отображаются в разделе «События», для общего списка можно применять различные правила фильтрации — выбирать отображение событий только для отдельных групп активов и применять дополнительные ограничения строке поиска. Созданные пользователем запросы можно сохранять как готовые фильтры и в дальнейшем применять в один клик.
При выборе события в правой части экрана отображаются структурированные данные о нем — источник, действие, идентификаторы, объекты и т. д. Кроме того, отображается и оригинальный полный текст события, таким образом в базе данных MaxPatrol SIEM хранятся два типа данных по каждому элементу — оригинальный текст и структурированные данные.
По набору событий поддерживается возможность выгрузки отчета в формате PDF.
Работа с инцидентами
Инциденты в MaxPatrol SIEM создаются одним из двух способов — вручную из интерфейса просмотра списка событий или автоматически на основе специальных правил.
Рисунок 9. Список инцидентов в MaxPatrol SIEM
Работа с инцидентами похожа на работу с событиями — так же присутствует фильтрация по группам активов и произвольные фильтры. При выборе инцидента отображается его описание и основные характеристики. Подробная информация открывается при двойном нажатии.
Дополнительно в настройках продукта присутствует управление уведомлениями — при появлении новых инцидентов в определенных группах активов ответственные администраторы безопасности могут получить сообщение по электронной почте. Также уведомления могут отправляться по расписанию и сообщать о новых инцидентах за заданный промежуток времени.
Рисунок 10. Подробная информация об одном инциденте в MaxPatrol SIEM
К инцидентам привязываются задачи — рабочие элементы для расследования инцидентов администраторами. Для задачи задается ее тип, крайний срок выполнения, выбор ответственного сотрудника и описание.
Рисунок 11. Создание задачи в рамках инцидента в MaxPatrol SIEM
Рисунок 12. Список инцидентов в MaxPatrol SIEM
Практически для всех элементов системы MaxPatrol SIEM доступны функции отображения статистики, построения графиков и генерации отчетов. Отчеты снабжаются подробным описанием, графиками и различной информацией об узлах сети, инцидентах, задачах и событиях.
Рисунок 13. Пример отчета по уязвимым узлам сети в MaxPatrol SIEM
Рисунок 14. Отчет по инцидентам за промежуток времени в MaxPatrol SIEM
Мониторинг
Раздел «Мониторинг SIEM» содержит ряд графиков для отслеживания состояния системы сбора событий. Графики отражают число полученных и обработанных событий от разных источников. Отдельно можно вывести информацию о количестве исходных событий и сравнить эти данные с числом нормализованных и отфильтрованных событий.
Рисунок 15. Мониторинг получения событий в MaxPatrol SIEM
Для выводимых графиков предусмотрены различные настройки и фильтрации — по узлам сети и группам активов, по заданиям сбора, типам событий и другие.
Выводы
Обработка событий безопасности с рабочих мест, серверов, сетевого оборудования и других узлов локальной сети — сложная задача, которая не может быть выполнена без автоматизации. Система мониторинга и корреляции событий информационной безопасности MaxPatrol SIEM версии 2.0 позволяет ИБ-администраторам взять под контроль функционирование всех защищаемых активов.
Продукт способен собирать события безопасности с устройств разных производителей и компьютеров, работающих под управлением большого числа операционных систем. Существенным плюсом MaxPatrol SIEM является возможность нормализации событий — разбора событий в журналах аудита и его представление в виде структурированного списка. Такой подход упрощает работу с событиями безопасности и значительно ускоряет поиск по событиям. С помощью управляемых правил корреляции и автоматического выявления инцидентов безопасности данный продукт обеспечивает высокую скорость реагирования на потенциальные проблемы в системе защиты. А со встроенной системой управления задачами расследования инцидентов и действия ИБ-персонала всегда упорядочены и систематизированы.
MaxPatrol SIEM можно использовать в инфраструктурах любого размера — хорошая производительность компонентов продукта и возможность его масштабирования позволяют подстроиться под любое количество узлов в сети и оптимально использовать аппаратные ресурсы для развертывания системы. Дополнительным плюсом для больших инфраструктур является поддержка ролевого доступа администраторов безопасности, с помощью которой можно обеспечить доступ к отдельным функциям продукта и контролируемым узлам для офицеров безопасности различных уровней.
Планы Positive Technologies на MaxPatrol SIEM амбициозны, развитие продукта ведется быстрыми темпами, в ближайшее время ожидается выход обновленной версии, а в целом Positive Technologies планирует планомерное расширение своей доли на рынке SIEM-решений. Мы будем внимательно следить за развитием данного решения и в будущем планируем подробно рассматривать новые версии MaxPatrol SIEM.
Достоинства:
Недостатки: