Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

87 ML-моделей, 25 000 событий в секунду и детект Kerberoasting. Positive Technologies выпустила MaxPatrol SIEM 27.6

Positive Technologies MaxPatrol SIEM MaxPatrol BAD SOC машинное обучение
87 ML-моделей, 25 000 событий в секунду и детект Kerberoasting. Positive Technologies выпустила MaxPatrol SIEM 27.6
Positive Technologies MaxPatrol SIEM MaxPatrol BAD SOC машинное обучение

Представлена новая версия системы мониторинга событий ИБ.

image

Positive Technologies выпустила версию 27.6 системы мониторинга событий информационной безопасности MaxPatrol SIEM. В обновлении добавили новые инструменты для работы с событиями, доработали AI/ML-модуль MaxPatrol BAD и расширили набор функций для администраторов и аналитиков SOC.

После обновления сотрудники SOC могут группировать данные по нескольким параметрам прямо в интерфейсе MaxPatrol SIEM без перехода в сторонние инструменты. Система поддерживает одновременную группировку, например по времени, адресу и типу события, а порядок выбранных параметров задает иерархию и сохраняется при экспорте. Сгруппированные данные отображаются в виде древовидной структуры.

В версии 27.6 также появилась функция кластеризации однотипных событий с помощью технологий машинного обучения. Система объединяет похожие записи в кластеры и автоматически формирует для них регулярные выражения. Такой режим можно настраивать через интерфейс MaxPatrol SIEM или с помощью PDQL-запроса.

Разработчик сообщил, что производительность модуля MaxPatrol BAD почти удвоилась. Поток событий, который может обрабатывать анализатор поведения, вырос с 15 000 до 25 000 событий в секунду. В модуль добавили 15 новых моделей машинного обучения. MaxPatrol BAD теперь выявляет попытки несанкционированного доступа к базам данных, включая ClickHouse и PostgreSQL, а также признаки атак AS-REP Roasting и Kerberoasting. Кроме того, система получила автоматическое удаление старых данных при переполнении SSD, отправку данных на syslog-сервер и регистрацию подозрительной активности процессов в MaxPatrol SIEM в виде исходных событий, пригодных для нормализации и использования в правилах корреляции.

Positive Technologies также изменила ряд рабочих функций MaxPatrol SIEM. В системе появилась возможность отменять запущенный PDQL-запрос до его завершения, а открытие новой вкладки больше не запускает такой запрос автоматически. Интерфейс теперь подсвечивает поля, которые используются для фильтрации.

Среди других изменений заявлена поддержка подключения по протоколу SAML 2.0 через внутреннюю систему единого входа. Пользователи также могут сохранять данные отчетов и экспортируемые записи в общую папку службы каталогов Samba. Для снижения сетевой нагрузки при передаче больших потоков событий в хранилище LogSpace теперь используется сжатие по алгоритму Zstandard. Кроме того, в системе можно ограничивать время выполнения подзадач сбора данных, менять расписание и запрещенные интервалы сразу для нескольких задач, а при заведении источников вручную указывать MIME-тип событий, собираемых через модуль Syslog.

Новые функции доступны после обновления MaxPatrol SIEM до версии 27.6.