Полный обзор MaxPatrol SIEM: возможности, преимущества и практическое применение

Немного про Positive Technologies

Один из российских разработчиков передовых решений в сфере инфобезопасности. Основан в 2002 году. С самого начала сосредоточился на создании технологий для защиты бизнеса и государственных структур от сложных киберугроз.

За два десятилетия Positive Technologies утвердилась как лидер в области информационной безопасности, получила международное признание. В портфеле компании решения:

• MaxPatrol VM — управление уязвимостями.
• PT NAD (Network Attack Discovery) — обнаружение атак в сети в режиме реального времени.

Одно из главных достижений Positive Technologies — уникальный опыт в области исследования угроз и уязвимостей. Ежегодно компания выпускает детализированные отчеты о глобальных киберугрозах. Их используют как госструктуры, так и частный сектор. Positive Technologies выявила сотни критических уязвимостей в ПО и значительно повысила уровень защиты ведущих отраслей.

Компания участвовала в разработке, продвижении отраслевых стандартов информационной безопасности: PCI DSS, ISO 27001. Специалисты Positive Technologies активно делятся своими знаниями на международных конференциях, обучающих мероприятиях, помогают сообществу внедрять лучшие практики защиты.

Позиционирование на рынке SIEM

Один из флагманских продуктов Positive Technologies в области киберзащиты — MaxPatrol SIEM. Это мощное решение для мониторинга событий инфобезопасности и управления инцидентами. Сочетает богатый функционал анализа данных и гибкость настройки.

Процесс разработки MaxPatrol SIEM — это годы исследований, тестирования, взаимодействия с клиентами. Решение занимает особое место на рынке благодаря таким конкурентным преимуществам:

1. Глубокая аналитика угроз: MaxPatrol SIEM применяет уникальные механизмы обработки данных, чтобы обнаруживать сложные атаки, к примеру, APT.
2. Интеграция с другими продуктами компании: легко встраивается в экосистему инструментов Positive Technologies, обеспечивает комплексный подход к защите.
3. Локализация и поддержка: в отличие от многих иностранных решений, MaxPatrol SIEM на сто процентов соответствует требованиям российских норм.

Что такое MaxPatrol SIEM

MaxPatrol SIEM — это мощная платформа для мониторинга, анализа, управления событиями информационной безопасности. Оптимальное решение для обнаружения инцидентов в реальном времени, быстрого реагирования, снижения рисков для инфраструктуры.

MaxPatrol SIEM легко взаимодействует с другими продуктами Positive Technologies.

Архитектура системы

MaxPatrol SIEM реализован на модульной архитектуре, это гибкое масштабируемое решение. Какие модули входят в систему:

1. MaxPatrol Core — основной компонент, выполняет функции управляющего сервера. Хранит конфигурации активов, управляет всеми компонентами системы. Поддерживает взаимодействие между подразделениями организации при расследовании инцидентов, дает доступ к веб-интерфейсу.
2. SIEM Server отвечает за обработку событий безопасности, включая их нормализацию, корреляцию, обогащение, связь с активами. Играет ключевую роль в обнаружении сложных угроз.
3. Knowledge Base — база знаний. Содержит актуальную информацию о рисках, уязвимостях. Помогает специалистам ИБ быть в курсе новых угроз.
4. Management and Configuration — интерфейс для управления настройками, учетными записями пользователей, лицензиями, упрощает администрирование.
5. Logspace/ElasticSearch — подсистема для хранения, индексирования событий. Дает быстрый доступ к данным для анализа, расследований, изучения инцидентов.
6. Collector отвечает за сбор событий и данных из разных источников (сетевые устройства, приложения, серверы). Объединяет данные со всех ключевых точек сети в единой системе.
7. PT Update and Configuration Service (PT UCS) — проверка наличия, загрузка, установка новых версий: модуля Pentest для коллекторов, компонентов с глобального сервера обновлений PT.

Поддерживает работу в распределённых инфраструктурах компактных сетей и крупных компаний с филиальным устройством. Можно уверенно сказать, что MaxPatrol SIEM — это универсальный инструмент безопасности на уровне всей организации.

Что умеет система

Очевидное преимущество — интеграция с другими продуктами Positive Technologies. MaxPatrol SIEM работает в единой экосистеме с MaxPatrol VM, PT EDR, PT Sandbox, PT NAD:

1. MaxPatrol VM — управление уязвимостями, оценка соответствия инфраструктуры требованиям безопасности.
2. PT EDR — обнаружение и реагирование на угрозы на конечных точках.
3. PT Sandbox — анализ поведения подозрительных файлов, выявление сложных атак.
4. PT NAD — инструменты для анализа сетевого трафика, обнаружения угроз в реальном времени.

Интеграция создает комплексную систему кибербезопасности, объединяет данные из разных источников для глубокого анализа и оперативного реагирования.

Другой важный аспект – MaxPatrol SIEM использует собственную базу знаний Positive Technologies. Система получает актуальные данные об угрозах и уязвимостях, эффективнее идентифицирует и анализирует потенциальные атаки.

Высокая производительность системы — ещё одно преимущество. MaxPatrol SIEM обрабатывает до 300 тысяч событий в секунду, поэтому для крупных организаций с интенсивным потоком данных он — идеальное решение.

Система регулярно поддерживается и обновляется через платформу PT UCS. Оперативно внедряются новые функциональные возможности, актуальные данные о современных киберугрозах, поддерживается высокий уровень информационной безопасности.

Система может масштабироваться, поддерживать распределённые инфраструктуры, гибко настраивать обработку событий. Адаптируется под разные сценарии — от небольших сетей до крупных корпоративных сегментов с филиалами и удалёнными площадками.

Инвентаризация активов

MaxPatrol SIEM регулярно собирает данные о сетевых узлах и связях между ними, формирует актуальную модель инфраструктуры. Идентифицирует новые, изменённые или несанкционированные устройства, повышает прозрачность, контроль над активами.

Автоматически обнаруживает элементы, собирая информацию из сетевых журналов, событий, результатов сканирования. Все обнаруженные активы классифицируются по типам: рабочие станции, серверы, сетевые устройства, IoT и характеристикам: IP-адрес, версия ПО и так далее. Дополнительно данные об устройствах обогащаются за счёт интеграции с внешними источниками.

Еще одно преимущество — быстрое выявление теневых IT (Shadow IT) и неуправляемых активов уменьшает риски, связанные с незарегистрированными устройствами.

В системе всегда актуальные данные, так как сведения регулярно обновляются за счёт заранее настроенных задач сканирования.

Инвентаризация упрощает управление уязвимостями благодаря эффективной интеграции с MaxPatrol VM.

Сбор и нормализация данных

MaxPatrol SIEM поддерживает интеграцию с источниками данных, собирает события из всех ключевых компонентов инфраструктуры. Система принимает данные от сетевых устройств, серверов, приложений, облачных сервисов, используя протоколы Syslog, SNMP, NetFlow и другие.

Все поступающие данные проходят процесс нормализации, приводятся к единому формату. Это упрощает их анализ и корреляцию, повышает точность выявления угроз. Интеллектуальные механизмы хранят данные, делают информацию доступной для анализа, оптимизируют расход ресурсов.

Дополнительно в MaxPatrol SIEM доступен язык запросов PDQL (Positive Data Query Language) для эффективной фильтрации. С его помощью операторы создают детализированные запросы, выделяют события по параметрам: временные рамки, источник данных, категория события или уровень угрозы. С PDQL процесс анализа ускоряется, так как он оптимизирует работу с большими объемами данных.

Таким образом, сбор и нормализация данных дает следующие преимущества MaxPatrol SIEM:

1. Унифицированный формат данных упрощает их обработку.
2. Фильтрация с помощью PDQL добавляет гибкость и точность.

Поддержка интеграции с любыми устройствами или платформами повышает адаптируемость системы для инфраструктур любой сложности.

Корреляция событий

Это тоже ключевой компонент MaxPatrol SIEM — выявляет сложные атаки через сопоставление данных из разных источников: межсетевых экранов, антивирусов, систем аутентификации. Ищет взаимосвязи, указывающие на атаку. Благодаря этому выявляются сложные, «скрытые» угрозы, незаметные при анализе отдельных событий.

В систему уже встроены готовые шаблоны правил — наборы логики, по которым SIEM определяет, что происходит что-то подозрительное. Например:

• один и тот же пользователь за короткое время вводит неверный пароль с разных IP — это brute force
• одно устройство за короткое время обращается ко множеству разных IP или портов — это сканирование портов
• происходит массовая отправка файлов, запуск скриптов или обращение к вредоносным URL — это может быть распространение malware.

С этими шаблонами можно сразу начинать работу без настроек вручную с нуля.

Кроме того, в MaxPatrol SIEM можно создавать настраиваемые правила. Специалисты разрабатывают собственные сценарии для обнаружения специфических угроз, в них учитывают уникальные особенности инфраструктуры. Повышается точность системы, можно адаптировать её под конкретные потребности.

Гибкая настройка правил помогает грамотно коррелировать события и снижать количество ложных срабатываний. Анализируя цепочки связанных событий, специалист ИБ сможет выявить многоступенчатые атаки (например, APT).

Обнаружение угроз

Модуль Behavioral Anomaly Detection (BAD) выявляет подозрительные действия в инфраструктуре на ранних стадиях. Анализирует поведение пользователей, устройств, фиксирует отклонения: попытки эскалации привилегий, резкие изменения в сетевой активности.

Кроме поведенческого анализа, BAD использует базу индикаторов компрометации (IoC) для проверки событий на соответствие известным шаблонам атак. Система идентифицирует угрозы, основываясь на актуальной информации о возможных сценариях.

Преимущества модуля: обнаруживает угрозы на самых ранних стадиях, до того, как началась активная атака. Отслеживает их поведение по мере развития. BAD не просто реагирует на инциденты, а предотвращает их, выявляет аномалии на раннем этапе. Помогает выявлять сложные атаки, нацеленные на эксплуатацию уязвимостей.

Отчетность и визуализация

Мощные инструменты для построения отчетов, визуализации данных помогут специалистам ИБ эффективно анализировать события, быстро реагировать на угрозы. Можно настраивать отчёты, планировать их выпуск, использовать интерактивные виджеты, дашборды для мониторинга и анализа.

В MaxPatrol SIEM реализована гибко настраиваемая отчетность с помощью фильтров для выбора релевантных данных:

1. Создаются детализированные отчёты с важной информацией для принятия решений.
2. Предусмотрено создание расписания для автоматического выпуска отчетов.
3. Информация своевременно обновляется без ручного вмешательства.

Интерактивные виджеты (таблицы, графики, диаграммы) делают отчеты, дашборды наглядными и удобными для восприятия. Упрощают визуальный анализ данных, помогают быстро выявлять аномалии или тренды. Отображение информации можно адаптировать под роли пользователей: аналитиков SOC, руководителей или аудиторов.

Дашборды MaxPatrol SIEM — это оперативный мониторинг ключевых показателей безопасности. В реальном времени отслеживается количество инцидентов, интенсивность событий, активность пользователей. Интерфейс интерактивный — мгновенный переход от общей статистики к детальному анализу интересующих событий. Можно настроить персонализированные дашборды для разных пользователей и упростить доступ к важной информации.

Масштабируемость и производительность

Система универсальна и подходит для организаций разных масштабов. MaxPatrol SIEM работает стабильно, обрабатывает сотни тысяч событий в секунду без снижения качества анализа. Это важно для крупных сетей с высокой нагрузкой. Есть горизонтальное масштабирование: можно добавлять новые узлы и ресурсы без полной модернизации. Это будет интересно организациям с растущей инфраструктурой или филиалами.

1. Для крупных компаний MaxPatrol SIEM поддерживает распределенную установку: каждый модуль разворачивается на отдельном сервере. Можно выделить ресурсы под отдельные компоненты (MP SIEM Server, MP Core, LogSpace и т.д.). Это улучшит производительность, повысит отказоустойчивость систем с большими объемами данных, сложными архитектурами: там, где нужна независимость модулей, высокая масштабируемость.
2. Для малого и среднего бизнеса предусмотрены варианты развертывания на одной машине с минимальными затратами ресурсов. Все основные компоненты могут работать на одном сервере, сохранять полный функционал системы для меньших объемов данных.

MaxPatrol SIEM можно развернуть в любой инфраструктуре — как локальной, так и облачной. Система не потребует серьёзных изменений в уже работающей архитектуре.

Аппаратные и программные требования

Перед установкой MaxPatrol SIEM проверьте, соответствует ли ваша инфраструктура минимальным техническим требованиям. Этим вы упростите настройку, сократите время развертывания, уменьшите риск ошибок в работе.

Программные требования для MaxPatrol SIEM

Все компоненты MaxPatrol SIEM поддерживают установку на 64-разрядные операционные системы семейства Linux. Среди поддерживаемых ОС:

1. Astra Linux Special Edition 1.7.5 на базе ядра Linux 5.15, Debian 10.3—10.13 на базе ядра Linux 5.10
2. Компонент MP 10 Collector также устанавливается на Microsoft Windows Server версии 2012, 2012 R2, 2016, 2019, 2022.

Система гибкая, легко внедряется в настроенную инфраструктуру.

MaxPatrol SIEM поддерживает виртуализацию на платформах VMware ESXi 6.5 и выше, Microsoft Hyper-V и KVM. Можно гибко распределять ресурсы, экономить на физическом оборудовании.

Для небольших организаций с количеством активов до 1000 рекомендуется архитектура AIO, объединяющая все компоненты на одном сервере. Крупным компаниям лучше использовать архитектуру Enterprise с распределением компонентов между отдельными узлами.

Аппаратные требования для MaxPatrol SIEM

Зависят от масштаба системы и выбранной архитектуры (AIO или Enterprise):

Для стабильной работы системы используйте высокоскоростные накопители (SSD/NVMe) для хранения данных. Они же дают пропускную способность сети от 1 Гбит/с и выше.

Преимущества MaxPatrol SIEM для специалистов информационной безопасности

Удобство использования: интерфейс MaxPatrol SIEM интуитивно понятен, оснащен дашбордами с настройкой «под себя». Можно создавать виджеты с отображением актуальных данных о состоянии безопасности, оперативно получать доступ к ключевой информации для быстрого мониторинга. Система готова к работе сразу после установки, не требует дополнительного обучения, легко осваивается благодаря интуитивному дизайну интерфейса.

Высокий уровень автоматизации. В MaxPatrol SIEM минимальная необходимость ручного труда. Все важные процессы автоматизированы: сбор, хранение, анализ данных о событиях в IT-инфраструктуре организации.

Экономическая эффективность:

1. Автоматизирует сбор, нормализацию и анализ событий. Специалисты быстрее выявляют угрозы, сокращается время на ручную проверку, уменьшает нагрузку на ИБ-команду, снимает потребность в привлечении внешних подрядчиков.
2. Полный контроль над безопасностью без расширения штата. Благодаря корреляции, шаблонам правил, встроенной аналитике сокращается количество специалистов, необходимых для мониторинга.
3. Своевременное выявление и реагирование на атаки, например, ransomware или утечку данных, полностью устраняет финансовые потери: простои, штрафы за нарушение законодательства (No 152-ФЗ и другие).
4. MaxPatrol SIEM автоматизирует отчетность и сбор доказательств соответствия (compliance): сокращает объем работ на аудиты и проверку исполнения политик ИБ.
5. Гибкое развертывание и масштабируемая архитектура — возможность максимально использовать существующие серверы, не покупать лишнее оборудование.
6. Объединение несколько функций в одной платформе: сбор логов, поведенческий анализ, аудит, расследование инцидентов исключает необходимость покупать дополнительные продукты.

Веб-интерфейс MaxPatrol SIEM облегчает управление событиями ИБ, дает доступ к ключевым функциям системы.

В верхней панели навигации веб-интерфейса размещаются следующие разделы:

• Активы: управление устройствами и их статусами.
• События: анализ потоков данных и журналов.
• Инциденты: обработка, расследование угроз.
• Сбор данных: управление источниками и настройка корреляции.
• Система: управление пользователями, отчётами, настройками.

Это меню дает быстрый доступ к основным функциям системы.

Главная страница: дашборды

После входа в систему открывается главная страница: дашборды с виджетами. Они отображают количество инцидентов за последние 24 часа, средний поток событий, результаты проверок по чек-листам, актуальность данных об активах и прочее. По интерактивным графикам и фильтрам можно анализировать распределение событий во времени, сегментировать их по категориям и уровням опасности.

MaxPatrol SIEM поддерживает настраиваемые дашборды для разных ролей: SOC-аналитик, руководитель или аудитор. Можно создавать собственные виджеты, делиться ими, сохранять как шаблоны.

Раздел «События»

На странице «События» сосредоточены возможности анализа и управления потоком данных, связанных с информационной безопасностью. Интерфейс этого раздела структурирован так, чтобы предоставить аналитикам максимально удобный доступ к фильтрации, группировке, детализации событий.

Группировка событий: вверху страницы слева расположена панель выбора групп активов. Здесь события отфильтрованы по конкретным группам устройств или сегментам сети. Это полезно при анализе процессов, связанных с определенными подсетями, серверами или рабочими станциями. Например, можно выбрать группу по IP-адресу подсети и увидеть события, связанные только с ней. Упрощается изоляция проблемных зон, ускоряется их анализ.

Слева находится раздел «Фильтры», включает три папки:

1. Стандартные предустановленные Positive Technologies фильтры для разных типов событий: сетевые взаимодействия, файловые операции, процессы. Предоставляют базовые настройки для быстрого анализа данных.
2. Общие: фильтры, доступные всем операторам системы. Создаются для коллективного использования, обеспечивают единый подход к обработке событий в команде.
3. Пользовательские: созданные операторами для собственного использования. Пользователь сможет адаптировать фильтрацию данных под свои задачи, не влияя на настройки других.

В центральной части интерфейса размещена таблица событий. Она поддерживает фильтрацию данных с использованием языка запросов PDQL, Positive Data Query Language. Можно создавать детализированные запросы для настройки отображаемых данных. Например: временной диапазон, источник данных или конкретный тип событий – это нужно для точности выборки, сокращения времени анализа.

В верхней панели раздела — функции создания новых инцидентов и привязки событий к существующим. Предусмотрена возможность экспорта данных в удобные для анализа форматы. Функция «Показать на топологии» визуализирует взаимосвязи между узлами сети для лучшего понимания структуры инцидента.

Правая панель отображает информацию о выбранном событии: статус, категории угроз, IP-адрес отправителя и получателя, географическое расположение узлов. Помогает проводить подробное исследование и классификацию события.

Раздел «Инциденты»

Здесь сконцентрированы ключевые функции мониторинга, анализа, обработки угроз информационной безопасности. Интерфейс раздела прозрачен, дает полный контроль над процессом работы с инцидентами – от обнаружения до разрешения.

Центральная область — таблица зарегистрированных инцидентов с информацией по каждому: идентификатор, категория, тип инцидента, статус, уровень опасности. Помогает правильно расставить приоритеты для реагирования. Пользователь может быстро оценить текущий статус: новый, в работе или завершён, тип угрозы.

В верхней части страницы находятся инструменты управления инцидентами. С помощью кнопок «Создать», «Редактировать», «Удалить» можно вручную управлять записями, когда надо внести изменения в инцидент или добавить новый. Функции импорта и экспорта данных нужны для интеграции с внешними системами и удобства при отчетности.

Правая панель предназначена для детального просмотра выбранного инцидента. Здесь отображаются его параметры: ID, статус, уровень опасности, категория, тип угрозы, список связанных событий. В примере на скриншоте инцидент относится к категории «Атака», имеет тип «Сканирование сети», средний уровень опасности. Информация о затронутых активах, сегментах сети, связанных событиях помогает глубже понять контекст угрозы.

Дополнительно в правой панели доступна история изменений. Здесь зафиксированы даты создания и обновления инцидента, автор изменений, источник данных. Нужно для отслеживания хронологии работы над инцидентом и анализа действий в процессе расследования.

Страница редактирования инцидента предназначена для детального анализа и работы с отдельным инцидентом. В ней собрана информация о выбранной угрозе и инструменты для её обработки.

В верхней части интерфейса представлены его основные данные: ID, название, категория. Указаны тип угрозы (например, сканирование сети), влияние (потенциальное воздействие на некритически важный актив). Дополнительно отображается список сканируемых портов (в данном случае 22, 135), методы сканирования (например, TCP-запросы). Эта информация помогает определить природу инцидента, возможные последствия.

Справа расположены параметры его статуса: уровень опасности (например, средний), статус (новый), ответственный сотрудник. Здесь же фиксируются временные метки: время обнаружения, время создания, последние изменения (с указанием автора). Они формируют историю обработки инцидента.

Элементы верхней панели включают кнопки для изменения статуса события, его редактирования или удаления. Есть возможность сохранить информацию в PDF (для отчётности), визуализировать расположение инцидента в группах, чтобы оценить его влияние на инфраструктуру.

В нижней части страницы размещены вкладки для работы с инцидентом:

1. Задачи — постановка, контроль действий, направленных на устранение угрозы.
2. События — детализированный список событий, связанных с данным инцидентом, с указанием времени, описанием. Например, фиксируются попытки сканирования портов 22 и 135 узлов в сети. Отсюда можно перейти на отдельную страницу анализа событий для более глубокого изучения.
3. Активы и сети — перечень затронутых активов для оценки влияния и масштаба угрозы.
4. Атакующие активы — список источников угроз, упрощающий дальнейший анализ их поведения.
5. Комментарии — зона для заметок и обмена информацией между сотрудниками.

Интерфейс — основной инструмент для работы с отдельными инцидентами. Здесь сосредоточены функции детального изучения, классификации, постановки задач по их устранению. Понятная структура с нужными действиями на одной странице помогает быстрее управлять инцидентами, снижает время реакции.

Раздел «Активы»

Здесь отображаются все активы сети с возможностью анализа и управления их состоянием, конфигурацией. В центральной части интерфейса — таблица активов, перечисляющая устройства: серверы, рабочие станции, сетевые устройства с указанием их операционных систем, статуса, других параметров. Для удобства работы можно изменять колонки с помощью языка запросов PDQL, настраивать вывод данных под конкретные задачи.

Пользователи могут создавать динамические группы активов с помощью фильтров на языке PDQL. Можно автоматически объединять активы по критериям: операционной системе, IP-адресу, другим параметрам. Динамическая группа отличается от статической тем, что формируется автоматически на основе условий, тогда как статическая создается вручную, служит своего рода папкой для ручной организации активов. Статическую группу можно наполнять вручную по мере необходимости, а динамическая создается внутри нее для более детальной структуры.

Инструменты для добавления нового актива предусмотрены на правой панели – можно вручную ввести данные о новом устройстве: IP-адрес, операционная система, тип устройства, другое. Там же можно экспортировать данные об активах в разные форматы для упрощения анализа и подготовки отчетов.

Здесь же отображается подробная информация о выбранном активе: описание, настройки, текущий статус, расположение в сети, история изменений. Можно в реальном времени отслеживать конфигурацию и состояние.

Истории изменений активов — в верхней части интерфейса. Показан график изменений конфигурации актива за последние 15 дней. Пользователь может выбрать другой период для анализа и увидеть, какие изменения произошли в конфигурации активов за это время. Так можно отслеживать важные события: обновления, изменения статуса, другие действия, влияющие на работу устройства.

Этот функционал очень упрощает управление: можно детально анализировать конфигурацию, отслеживать историю изменений, эффективно организовывать активы с помощью динамических и статических групп.

Раздел «Сбор данных»

Предоставляет удобные инструменты для настройки, мониторинга, управления сбором информации. В центральной части расположена таблица задач, где отображены основные параметры каждой задачи: статус, название, цели, профиль. Можно быстро оценить текущее состояние задач и их назначение.

На правой панели показаны детализированные сведения о выбранной задаче:

• цели (диапазоны сетевых адресов и др.)
• параметры сбора (например, профиль задачи вроде «HostDiscovery»)
• используемый модуль
• назначенные коллекторы
• инфраструктура, с которой производится сбор.

Здесь же — история запусков задачи с указанием времени создания, последнего запуска и текущего статуса. Можно отслеживать выполнение задач, быстро выявлять возможные ошибки.

В верхней части — инструменты управления задачами. Позволяют создавать новые задачи с необходимыми настройками, редактировать существующие, удалять завершенные или неактуальные. Кнопками запуска, паузы и остановки можно контролировать выполнение процессов в реальном времени.

В левой колонке интерфейса — набор фильтров: «Все задачи», «Сейчас выполняются», «С некорректными параметрами». С их помощью оператор быстро отфильтрует задачи по их состоянию или типу – например, отдельно посмотреть сбор данных, импорт журналов или ретроспективную корреляцию.

Раздел «Система»

Включает несколько подпунктов, посвященных поддержке и администрированию:

1. Управление доступом пользователей к функциям. Обеспечивает безопасность, четкое разграничение обязанностей внутри команды. Администратор создает роли, назначает права на основе должностных обязанностей, ограничивает доступ к некоторым данным или разделам.
2. Инструменты контроля за обработкой событий. Нужны для надежной работы системы в режиме реального времени. Позволяют отслеживать статус обработки, выявлять ошибки или задержки, оперативно их устранять.
3. Отчеты генерируются на основе собранных данных. Можно создавать стандартные или настраиваемые отчеты, выбирать параметры, формат представления информации.
4. Настройка системы оповещений для информирования о событиях и инцидентах. Пользователь задаёт правила, определяет, какие типы событий требуют уведомления, каким способом оно будет доставлено (например, email).
5. Настройки политик безопасности, регулирующих работу системы. Включают установку временных рамок для хранения данных, применение правил обработки инцидентов, прочие глобальные настройки.
6. Административные функциидля настройки глобальных параметров MaxPatrol SIEM. Здесь можно контролировать производительность, задавать системные параметры, управлять конфигурацией.
7. Контрольный список настроек системы помогает администраторам убедиться, что все параметры и функции сконфигурированы корректно. Полезно как на этапе внедрения, так и после обновления системы.

Лицензирование MaxPatrol SIEM

Дает гибкие возможности для адаптации системы под инфраструктурные или бизнес-потребности. Включает лицензии: базовые, функциональные и лицензии продления. Поддерживает два архитектурных подхода: AIO (All-in-One) и Enterprise. С помощью этих архитектур система эффективно внедряется, масштабируется по мере роста организации.

Для работы с MaxPatrol SIEM необходима первоначальная лицензия. Включает базовую лицензию, определяющую количество активов, обрабатываемых системой. Например, лицензия на 1000 активов обозначается как PT-MPSIEM-BASE-H1000. Охватывает ключевые компоненты: MP SIEM Server (обработка и корреляция событий) и MP SIEM Event Broker (маршрутизация событий между модулями системы или внешними платформами). Срок действия такой лицензии – один год, затем требуется продление.

Лицензии продления используются для продолжения работы системы после окончания срока первоначальной. Обозначаются индексом «-EXT» в артикуле (например, PT-MPSIEM-SRV-EXT для продления серверной лицензии). Гарантируют доступ к обновлениям, новым функциям, технической поддержке.

Лицензии расширения необходимы, если надо увеличить лимиты активов или подключить дополнительные модули. Могут предусматривать лицензии для подключения новых компонентов:

• Behavioral Anomaly Detection (BAD) для анализа поведенческих аномалий.
• Incident Management для управления инцидентами, взаимодействия с внешними службами, включая ГосСОПКА.
• Network Attack Discovery (PT NAD) для анализа сетевого трафика и выявления угроз.
• MaxPatrol VM (MP VM) для расширенного управления уязвимостями. Интегрированное решение обнаруживает их и управляет на основе данных из MaxPatrol SIEM. Улучшает выявление угроз, помогает автоматизировать их устранение.

Лицензии расширения нужны растущим организациям, они дают гибкость при масштабировании системы или подключении новых функций.

AIO (All-in-One) — компактное решение для небольших организаций или пилотных внедрений. Все основные компоненты: сервер, обработка событий, управление инцидентами объединены на одном физическом сервере или виртуальной машине. AIO поддерживает до 1000 активов, выгодна для малого или среднего бизнеса: простота настройки, минимальные требования к инфраструктуре, быстрое внедрение.

Enterprise разработана для крупных организаций с распределёнными сетями. Архитектура предполагает раздельное развертывание компонентов системы (MP SIEM Server, MP SIEM Event Broker, коллекторы) на нескольких серверах. Позволяет обрабатывать большие объёмы данных, поддерживать отказоустойчивость и горизонтальное масштабирование. Enterprise гибко адаптируется к растущим требованиям бизнеса.

Система активируется лицензионным файлом, привязанным к аппаратной конфигурации сервера или виртуальной среды. При изменении структуры оборудования необходимо запросить новый файл у службы технической поддержки Positive Technologies. Процесс активации может выполняться в онлайн или офлайн-режиме.

Схема лицензирования MaxPatrol SIEM

Построено на модульном подходе, охватывающем весь жизненный цикл системы – от первоначальной покупки до следующего расширения функциональности. Схема помогает адаптировать продукт под изменяющиеся требования и масштаб инфраструктуры. Главные категории лицензий – базовая и инфраструктурные – дополняются лицензиями на функциональные возможности, продления, расширения. Можно собрать оптимальное решение для любой организации.

Первоначальная

Приобретается при запуске MaxPatrol SIEM, включает все компоненты для начала работы. Состоит из базовой лицензии, набора инфраструктурных лицензий, лицензий на сбор событий и дополнительные функции. Пакет запускает систему, задаёт базовые параметры, дает год обновлений и поддержки. После первого года необходимо оформить продление.

Предусмотрена покупка бессрочных лицензий. Они действительны весь период исключительных прав, однако доступ к обновлениям и технической поддержке также предоставляется ограниченное время.

Базовая

Это фундамент любого внедрения MaxPatrol SIEM. Единица измерения — сетевой узел. Включает пользовательские ПК, серверы, коммутаторы, виртуальные машины, другие активы. При этом один узел может обслуживать несколько источников событий, а один источник (например, корпоративный межсетевой экран) может передавать данные сразу для нескольких узлов.

Лицензия на 1000 узлов означает, что система может мониторить до 1000 сетевых устройств. То есть, само подключение источника данных (например, сетевого устройства или сервера) к платформе мониторинга не ограничено, но возможность обрабатывать поступающие от него данные — да. Если в инфраструктуре число узлов превышает 1000, необходимо докупить дополнительное лицензирование.

Таблица базовых лицензий:

Инфраструктурные

Обеспечивают работу ключевых компонентов SIEM. Используются модули: MaxPatrol SIEM Server, кластерные решения, Event Broker, система управления инцидентами. Эти лицензии покупаются вместе с базовой, так как их вместимость зависит от числа сетевых узлов. Дополнительно есть лицензии для тестовых сред (non-production), они делают систему гибкой даже при отладке или резервном копировании.

Таблица инфраструктурных лицензий:

Лицензии на функциональные компоненты

Расширяют возможности базового продукта, можно включить дополнительные функции: расширенный сбор и обработку событий, анализ сетевого трафика или оценку уязвимостей. Лицензирование проводится либо по числу активов, либо по объему обрабатываемых событий (EPS), можно настроить систему под конкретную нагрузку.

Таблица функциональных лицензий:

Лицензия AIO (All-In-One)

Специализированное решение, объединяет аппаратную платформу и пакет программных лицензий. В этом варианте компоненты устанавливаются на одном выделенном или виртуальном сервере. Решение идеально подходит для распределенных систем с инфраструктурой до 1000 сетевых узлов.

В пакет лицензий AIO входят: базовая лицензия на нужное количество узлов, на сервер (PT‐MPSIEM‐SRV), на Asset and Event Collector (1 шт.).

Дополнительные ограничения AIO: в зависимости от модели комплекта есть лимиты на максимальное количество активов и событий в секунду, например:

Если число активов превышает установленное ограничение, требуется лицензия расширения или переход на архитектуру Enterprise.

Лицензии продления и расширения

По окончании срока действия первоначальной лицензии необходимо оформить лицензию продления, чтобы продолжать получать обновления и техническую поддержку. Продление распространяется на базовую, инфраструктурные и функциональные лицензии, оформляется добавлением суффикса «-EXT» к исходному артикулу.

Если инфраструктура растет или меняются требования, применяется лицензия расширения. Она увеличивает количество поддерживаемых сетевых узлов или добавляет новые компоненты без замены всего пакета. Такое расширение может потребоваться в следующих ситуациях:

• Увеличение активов или существенный рост потока событий.
• Изменение инфраструктуры или появление новых сегментов сети.
• Изменение требований к отказоустойчивости.
• Необходимость дополнительных функциональных возможностей (например, модуль для выявления сетевых угроз или расширенное управление инцидентами).
• Пересмотр общих требований к системе с участием специалистов.

Таблица лицензий продления (примеры):

Окончание срока действия лицензии

По окончании срока действия лицензии прекращается поставка обновлений и техническая поддержка. Система может продолжать работать, но некоторые функции будут ограничены. Например, пользователи не смогут добавлять задачи по сбору данных, запускать новые сканирования или обновлять правила корреляции. Это снизит оперативность реакции на новые угрозы и уязвимости, поэтому своевременное продление лицензии обязательно.

Кроме того, обновление и поддержка бессрочных лицензий также прекращаются по истечении установленного периода. Нужно оформить продление, чтобы и дальше получать исправления и новые возможности.

Методика расчета количества лицензий

Количество необходимых лицензий рассчитывается с учетом топологии сети и функциональных требований заказчика. При расчёте надо учесть:

1. Общее количество активов, подлежащих мониторингу (определяется базовой лицензией).
2. Топологию сети (наличие распределенных площадок, сегментацию).
3. Типы используемых источников событий, требуемую функциональность.

При таком подходе вы подберете оптимальный набор лицензий для конкретной инфраструктуры.

Итоговая схема лицензирования

Покупка MaxPatrol SIEM включает:

1. Первоначальную лицензию – стартовый комплект для запуска.
2. Базовую лицензию – обязательную лицензию на количество сетевых узлов (узел – устройство, генерирующее данные от нескольких источников).
3. Инфраструктурные лицензии – для работы ключевых компонентов (серверы, кластеры, Event Broker и др.).
4. Лицензии на функциональные компоненты – для расширения возможностей системы по сбору, обработке и анализу.
5. Лицензии продления – для непрерывной поддержки и обновлений.
6. Лицензия расширения – для увеличения объема при росте инфраструктуры.
7. Лицензия AIO – для нераспределенных систем, объединяет аппаратную и программную части.
8. Бессрочные лицензии – вариант лицензирования, действующий на весь срок исключительных прав, при этом обновления и поддержка предоставляются в течение ограниченного периода.

С такой моделью вы сможете гибко адаптировать MaxPatrol SIEM под любые требования, обеспечить масштабируемость, защиту и оперативность реагирования на угрозы.

Практический пример пользы MaxPatrol SIEM (после внедрения)

Наш клиент – крупная компания, информационную безопасность которой мы поддерживаем уже несколько лет. До внедрения MaxPatrol SIEM заказчик использовал только базовые средства защиты сети, в том числе межсетевой экран нового поколения Fortinet FortiGate. Несмотря на продвинутый функционал FortiGate, в компании не было единого центра мониторинга и корреляции событий. Специалисты были перегружены ручной работой, периодическим пропускали важные инциденты.

После внедрения MaxPatrol SIEM компания получила инструмент, который автоматически обрабатывает и анализирует события с FortiGate. Вскоре после запуска и интеграции система обнаружила подозрительный трафик, связанный с ботнетом Mozi. Он поражает IoT-устройства и сетевые компоненты через слабые пароли и уязвимости, маскируя свою активность с помощью P2P-протоколов.

Детальное расследование показало, что FortiGate фиксировал подозрительные соединения с серверами в Китае, но не блокировал их. Это создало серьёзную угрозу для критически важных ресурсов клиента в финансовом секторе. Благодаря автоматизированному анализу событий в MaxPatrol SIEM удалось быстро выявить источник заражения — им оказался сервер компании, отвечающий за работу важных бизнес-приложений.

Хост оперативно отключили от сети, предотвратили возможную утечку конфиденциальных данных. Затем усилили настройки безопасности FortiGate и обновили админпароли.

В результате внедрения SIEM-системы инциденты стали выявляться быстрее, специалисты меньше загружены ручным мониторингом, риск пропуска атак значительно снизился.

Где и как научиться работать с MaxPatrol SIEM

Чтобы эффективно управлять решением MaxPatrol SIEM, специалистам по ИБ необходимо пройти обучение. Рассмотрим доступные форматы обучения, дополнительные ресурсы и их преимущества.

Форматы обучения

Обучение у вендора. Официальные курсы доступны на обучающем портале Positive Education. Там же выложены видеоуроки, документация, регулярно обновляемые вендором Positive Technologies.

Очное обучение в учебных центрах. Авторизованные центры проводят практические тренинги и семинары по MP SIEM. Узнать о центрах можно на их официальных сайтах. Среди таких центров:

• Информзащита — itsecurity.ru
• Диона Мастер Лаб — masterlab.ru
• NTC — ntc.ru

Корпоративное обучение от ИнфраТех. Компания ИнфраТех предлагает корпоративное обучение по MP SIEM с учетом специфики вашего бизнеса. Обучение состоит из базовых и продвинутых модулей, включает лабораторные работы, разбор реальных кейсов.

Дополнительные ресурсы и сертификация

• Документация. Официальная документация по MP SIEM от Positive Technologies с подробными инструкциями по настройке и эксплуатации.
• Бесплатные материалы. На портале Positive Education доступны вебинары, статьи, видеоуроки, которые помогают оперативно освоить обновления MP SIEM.
• Сертификация. Сертификацию по MP SIEM можно пройти на Positive Education. Сертификат подтверждает компетенции специалиста, повышает его профессиональную ценность на рынке.

Преимущества каждого формата обучения

• Обучение у вендора — авторитетная программа, которая регулярно актуализируется, позволяет получить официальную сертификацию.
• Очное обучение в учебных центрах — живое общение с экспертами, обмен опытом, практика в реальных условиях.
• Корпоративное обучение от ИнфраТех — индивидуальный подход, разбор бизнес-кейсов, обучение непосредственно на инфраструктуре вашей компании.

Гарантийный срок и техническая поддержка MaxPatrol SIEM

Компания Positive Technologies дает гарантийные обязательства и техническую поддержку для решений MaxPatrol SIEM. Предоставляется в программном виде или в виде готовых программно-аппаратных комплексов (физические серверы с установленным ПО). Поддержка разделена на три уровня – базовый, расширенный, премиальный. Отличаются набором услуг и временем реакции.

Гарантийный срок

На аппаратную платформу, поставляемую в составе MaxPatrol SIEM, гарантийный срок составляет 5 лет. Поддержка программной части действует на протяжении срока действия лицензии на продукт. По истечении срока лицензии техническая поддержка приостанавливается до её продления.

Уровни технической поддержки

• Базовая: в рабочее время (с 9:00 до 18:00 по московскому времени), включает консультации, стандартные процедуры решения проблем через портал поддержки.
• Расширенная: круглосуточно по критическим и высоким запросам, а также оперативная реакция на обращения средней срочности.
• Премиальная: круглосуточная поддержка, персональные консультации, регулярные проверки работоспособности.

Время реакции технической поддержки по уровням значимости запросов

Как обратиться за поддержкой?

Основной канал связи — портал технической поддержки support.ptsecurity.com (доступен на русском, английском языках). На портале можно создавать заявки, отслеживать их статус, а также пользоваться базой знаний и документацией.

Дополнительно есть неофициальный чат в Telegram для общения с разработчиками и пользователями системы.

Нормативные и регуляторные требования, сертификация ФСТЭК в MaxPatrol SIEM

MaxPatrol SIEM – отечественное решение, которое отвечает строгим требованиям российских законов и нормативным актам регуляторов. Это важно для компаний, работающих с конфиденциальной информацией: банков, страховых компаний, образовательных, медицинских учреждений, а также государственных и муниципальных структур.

MaxPatrol SIEM демонстрирует высокую степень надёжности и прозрачности процессов ИБ, это подтверждается официальной сертификацией.

Требования законов РФ

Организации, обрабатывающие персональные данные граждан Российской Федерации, обязаны соблюдать Федеральный закон No 152-ФЗ «О персональных данных». Это банки, страховые компании, образовательные учреждения, госструктуры. Кроме того, предприятия, обеспечивающие работу критической информационной инфраструктуры, должны соответствовать Федеральному закону No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

MP SIEM автоматически собирает и хранит журналы (логи). Это упростит документирование инцидентов, подготовку отчетов для аудита, снизит риск утечек данных и штрафных санкций.

Требования регуляторов и отраслевых стандартов

MP SIEM удовлетворяет нормативам, установленным приказами ФСТЭК No 17, No 21, No 31, No 239. Гарантирует выполнение необходимых мер технической защиты.

Система соответствует требованиям безопасности в автоматизированных системах управления: стандарты Банка России СТО БР ИББС, РС БР ИББС-2.5–2014, международный стандарт PCI DSS, обязательный для компаний, работающих с платежными картами.

Прозрачность процессов мониторинга ИБ в MP SIEM полностью соответствует требованиям российских регуляторов: ФСБ и Центрального банка России.

Сертификация и соответствие ФСТЭК

MaxPatrol SIEM сертифицирована ФСТЭК и Минобороны России, включена в реестр отечественного ПО. Таким образом, соответствует 4-му классу защищенности (уровню контроля отсутствия недекларированных возможностей). Может использоваться в информационных системах персональных данных, автоматизированных системах управления, на объектах критической инфраструктуры. Наличие сертификации — гарантия высокого качества и надежности решения.

Интеграция с дополнительными решениями в экосистеме Positive Technologies

На платформе MaxPatrol 10 продукт MP SIEM — центральный элемент единой системы управления информационной безопасностью. В экосистеме Positive Technologies доступны решения для выявления уязвимостей, защиты конечных устройств, анализа сетевого трафика. Все продукты работают в едином веб-интерфейсе и дают целостную картину безопасности в режиме реального времени.

Дополнительные решения и их преимущества

MaxPatrol VM регулярно сканирует активы, выявляет уязвимости на конечных устройствах. Помогает оперативно устранять слабые места в инфраструктуре, снижать риск эксплуатации уязвимостей. Например, компания сможет заблаговременно обнаружить устаревшее ПО и своевременно его обновить.

MaxPatrol EDR защищает конечные устройства, анализируя локальные угрозы. При обнаружении подозрительных файлов система автоматически отправляет их для глубокого анализа в PT Sandbox. Позволяет быстро принять меры по нейтрализации угроз, снижает число ложных срабатываний.

MaxPatrol NAD мониторит сетевой трафик, выявляет атаки. Благодаря этому решению можно своевременно обнаружить аномалии в сети, предотвратить попытки компрометации. Интеграция с другими компонентами позволит быстро связывать сетевые инциденты с событиями на конечных устройствах.

PT Sandbox интегрирован как средство детального анализа подозрительных файлов. Работает совместно с MaxPatrol EDR, обеспечивает дополнительный уровень проверки и оценки угроз. Результаты анализа автоматически передаются в MP SIEM, где фиксируются соответствующие события безопасности.

Согласно официальной информации Positive Technologies, экосистема MaxPatrol построена на единой архитектуре с открытыми API и поддержкой современных стандартов интеграции. Объединение MP SIEM, MP VM, MP EDR, MP NAD и PT Sandbox создает централизованную систему обнаружения, анализа и реагирования на инциденты.

Использование единой архитектуры и открытых API повышает эффективность SOC: сокращается время реакции на угрозы, снижаются затраты на администрирование, обеспечивается интеграция с внешними системами и адаптация под нужды разных отраслей.

Главное о MaxPatrol SIEM

MaxPatrol SIEM — система для контроля и реагирования

Централизованно собирает, анализирует и сопоставляет события ИБ. Работает в режиме реального времени.

Подходит для любых инфраструктур

Поддерживает развертывание в локальных, облачных и гибридных средах. Не требует полной перестройки архитектуры.

Помогает быстро находить угрозы

Использует шаблоны корреляции, поведенческий анализ и автоматизацию, чтобы обнаруживать атаки на ранних этапах.

Автоматизирует работу ИБ-специалистов

Снижает ручную нагрузку, ускоряет расследование инцидентов и экономит ресурсы команды.

Даёт экономические преимущества

Сокращает расходы на соответствие требованиям, уменьшает потери от инцидентов и снижает потребность в дополнительных инструментах.

Удобен в работе

Интерфейс интуитивный: нужные действия на одной странице, всё логично и прозрачно.

Готов к интеграции

Встроенная поддержка MaxPatrol VM и других систем упрощает настройку процессов управления уязвимостями.