540 тыс событий в секунду: Positive Technologies выпустила восьмую версию MaxPatrol SIEM

Positive Technologies выпустила восьмую версию системы мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM. Обновленный продукт позволит почти на треть увеличить процент присутствия вендора среди компаний, которым требуются сверхбольшие инсталляции (крупнейший бизнес из списка RA600), и среди государственных организаций, перед которыми поставлены задачи использования технологий искусственного интеллекта.

Основные обновления:

1. Оптимизация аппаратных требований: Для развертывания системы, способной обрабатывать до 5 тыс. событий в секунду, теперь требуется меньше аппаратных ресурсов. Это позволяет компаниям сократить расходы на приобретение оборудования и облегчит установку системы, особенно в условиях, когда стоимость техники постоянно растет.
2. Повышенная производительность MaxPatrol SIEM: на одном ядре и с использованием всех экспертных правил обновленный продукт обрабатывает более 540 тыс. событий в секунду Это значительно расширяет возможности системы, позволяя мониторить большие потоки данных без потери качества и без компромиссов при выборе пакетов экспертизы.
3. СУБД LogSpace: Система с версии 7.0 использует базу данных собственной разработки, что позволило увеличить объем и сроки хранения данных в шесть раз по сравнению с другими решениями.
4. Модуль поведенческого анализа: Новый ML-модуль - Behavioral Anomaly Detection - встроено порядка 30 моделей машинного обучения, разработанных на основе двадцатилетнего опыта вендора в расследовании инцидентов.
5. Интеграция и улучшенный UX: Версия 8.0 предлагает более глубокую интеграцию с другими продуктами компании и сторонними сервисами, а также улучшенный интерфейс для быстрого доступа к информации о событиях и связанным с ними данным.

Чтобы упростить задачу по проверке гипотез, расширена интеграция с продуктами Positive Technologies и сторонними сервисами: из карточки событий теперь можно отправлять кросс-сервисные запросы в PT Network Attack Discovery, MaxPatrol EDR, RST Cloud, Whois7 и другие системы.

Кроме того, из карточки событий можно отправлять кросс-сервисные запросы в подсистему PT Threat Analyzer. Она помогает построить обнаружение и приоритизацию инцидентов на основании индикаторов компрометации — сведений о злоумышленниках и инструментарии, которые они используют для атак. PT Threat Analyzer собирает данные об угрозах из разных источников, включая сервис PT Threat Intelligence Feeds, а также другие коммерческие и открытые источники данных.

В будущем компания Positive Technologies планирует дальнейшую оптимизацию MaxPatrol SIEM, чтобы соответствовать меняющимся требованиям рынка и потребностям клиентов.