На 20% быстрее. Positive Technologies обновила MaxPatrol SIEM
На 20% быстрее. Positive Technologies обновила MaxPatrol SIEM
Alexander Antipov
Что изменилось в архитектуре российского решения.
Positive Technologies сообщила, что в 2025 году в MaxPatrol SIEM реализованы изменения, направленные на повышение стабильности, производительности и удобства работы. По данным компании, производительность системы выросла на 20%, снизились требования к центральному процессору, а модуль машинного обучения MaxPatrol BAD получил новые функции.
С 2022 по 2025 год количество правил корреляции в MaxPatrol SIEM увеличилось с 483 до 1687. По данным игроков рынка SIEM, это одно из самых высоких значений среди подобных решений. Увеличение числа правил потребовало переработки архитектуры продукта. В версиях 27.3 и 27.4 изменена схема взаимодействия между коррелятором, нормализатором и подсистемой обогащения. Оптимизация работы внутренних сервисов позволила снизить нагрузку на CPU до 20%.
Внедрение механизма контроля потока событий (flow control) сделало систему устойчивее при резких колебаниях нагрузки. Оптимизация сглаживания потока и адаптивная подстройка использования ресурсов позволили обрабатывать больше событий в секунду без увеличения аппаратных мощностей.
Компания также отметила, что за последний год количество открытых дефектов сократилось в четыре раза. Ведётся работа над AI-ассистентом XPertise, который должен автоматизировать написание правил нормализации.
По данным Positive Technologies, подход к экспертизе изменился: в карточках событий теперь содержится больше информации, увеличилось покрытие техник из матрицы MITRE ATT&CK. В продукт добавляются сведения о новых инструментах, которые используют APT-группировки и хактивисты. Эти данные формируются на основе расследований кибератак и исследований команд Incident Response и Red Team.
В августе 2025 года специалисты PT SWARM выявили критические уязвимости в TrueConf Server. По информации компании, их эксплуатация могла привести к полной компрометации серверов видеоконференцсвязи. Для MaxPatrol SIEM были разработаны правила, фиксирующие подозрительные процессы веб-серверов на Unix и Windows, что позволяет обнаруживать такие атаки.
Модуль машинного обучения MaxPatrol BAD используется для приоритизации инцидентов. По результатам внутренних тестов, 90% алертов были правильно классифицированы как реальные атаки, что затем подтвердили операторы SOC. MaxPatrol BAD также выполняет поведенческий анализ, позволяя выявлять аномалии, которые невозможно зафиксировать статическими правилами.
Частота обновления экспертных правил в 2025 году увеличилась: теперь они выпускаются каждые две недели, а для уязвимостей высокой критичности — в течение трёх суток. В 2024 году обновления выпускались раз в месяц.
Компания уточнила, что аналитикам SOC для расследования киберинцидента достаточно информации из карточки события в интерфейсе SIEM. По данным разработчиков, система фиксирует ключевые действия злоумышленников — от горизонтального перемещения и разведки до эксплуатации уязвимостей и запуска шифровальщиков. Время оповещения аналитика о подозрительной активности составляет до 10 минут.
С 2022 по 2025 год количество правил корреляции в MaxPatrol SIEM увеличилось с 483 до 1687. По данным игроков рынка SIEM, это одно из самых высоких значений среди подобных решений. Увеличение числа правил потребовало переработки архитектуры продукта. В версиях 27.3 и 27.4 изменена схема взаимодействия между коррелятором, нормализатором и подсистемой обогащения. Оптимизация работы внутренних сервисов позволила снизить нагрузку на CPU до 20%.
Внедрение механизма контроля потока событий (flow control) сделало систему устойчивее при резких колебаниях нагрузки. Оптимизация сглаживания потока и адаптивная подстройка использования ресурсов позволили обрабатывать больше событий в секунду без увеличения аппаратных мощностей.
Компания также отметила, что за последний год количество открытых дефектов сократилось в четыре раза. Ведётся работа над AI-ассистентом XPertise, который должен автоматизировать написание правил нормализации.
По данным Positive Technologies, подход к экспертизе изменился: в карточках событий теперь содержится больше информации, увеличилось покрытие техник из матрицы MITRE ATT&CK. В продукт добавляются сведения о новых инструментах, которые используют APT-группировки и хактивисты. Эти данные формируются на основе расследований кибератак и исследований команд Incident Response и Red Team.
В августе 2025 года специалисты PT SWARM выявили критические уязвимости в TrueConf Server. По информации компании, их эксплуатация могла привести к полной компрометации серверов видеоконференцсвязи. Для MaxPatrol SIEM были разработаны правила, фиксирующие подозрительные процессы веб-серверов на Unix и Windows, что позволяет обнаруживать такие атаки.
Модуль машинного обучения MaxPatrol BAD используется для приоритизации инцидентов. По результатам внутренних тестов, 90% алертов были правильно классифицированы как реальные атаки, что затем подтвердили операторы SOC. MaxPatrol BAD также выполняет поведенческий анализ, позволяя выявлять аномалии, которые невозможно зафиксировать статическими правилами.
Частота обновления экспертных правил в 2025 году увеличилась: теперь они выпускаются каждые две недели, а для уязвимостей высокой критичности — в течение трёх суток. В 2024 году обновления выпускались раз в месяц.
Компания уточнила, что аналитикам SOC для расследования киберинцидента достаточно информации из карточки события в интерфейсе SIEM. По данным разработчиков, система фиксирует ключевые действия злоумышленников — от горизонтального перемещения и разведки до эксплуатации уязвимостей и запуска шифровальщиков. Время оповещения аналитика о подозрительной активности составляет до 10 минут.