- 10,652
- 18
- 8 Ноя 2022
В новой версии улучшены сценарии использования ML-алгоритмов для обнаружения угроз.
Positive Technologies выпустила новую версию системы мониторинга событий информационной безопасности и управления инцидентами — MaxPatrol SIEM 8.2. Обновления направлены на улучшение работы аналитиков, позволяя им эффективнее выявлять атаки и снимая часть рутинных задач, что увеличивает скорость реагирования на инциденты. В новой версии также расширены возможности использования алгоритмов машинного обучения.
Ключевое улучшение в MaxPatrol SIEM 8.2 заключается в использовании машинного обучения не только для получения второго мнения, но и для обнаружения целенаправленных атак и неизвестных уязвимостей. Обновлённый мониторинг источников позволяет исключить слепые зоны и обеспечивает непрерывный контроль инфраструктуры. Также появилась возможность хранения в два раза большего объема данных на вычислительных ресурсах, аналогичных ресурсам open-source-решений, с централизованным поиском через единую базу данных LogSpace.
В компании отмечает, что каждый новый выпуск системы направлен на повышение удобства и эффективности работы операторов в части обнаружения атак и снижение нагрузки на специалистов. В системе сочетается знание о том, где и что искать, а также рекомендации по действиям с найденными угрозами. Обновленный мониторинг источников, усовершенствование алгоритмов машинного обучения, и масштабируемость LogSpace вместе с известными пользователям функциями обеспечивают качественное обнаружение и помогают операторам быстрее и точнее реагировать на атаки.
С версии 8.0 MaxPatrol SIEM интегрирован с модулем поведенческого анализа BAD (Behavioral Anomaly Detection). Изначально этот ML-помощник служил для подтверждения срабатывания правил корреляции, снижая когнитивную нагрузку аналитиков и позволяя им быстрее принимать решения по инцидентам. В новой версии расширенная интеграция с BAD позволяет выявлять неизвестные атаки и обходы стандартных правил корреляции, используя около 50 моделей машинного обучения, разработанных на основе многолетнего опыта компании в расследовании инцидентов. Модуль анализирует данные о событиях, пользователях и процессах, присваивая им определенный уровень риска. Операторы теперь могут обнаруживать аномалии не только в Windows, но и в Unix-подобных системах и сетевом оборудовании.
Обновленный мониторинг источников в MaxPatrol SIEM 8.2 позволяет контролировать полноту и качество сбора данных со всех источников, исключая слепые зоны. Система обнаруживает источники, для которых не настроен мониторинг, и предоставляет рекомендации по его настройке для обеспечения качественного обнаружения угроз. В системе заложены экспертные знания о правильном мониторинге более 350 источников событий, включая требования к потоку событий и наличию необходимых идентификаторов. Рекомендации обновляются на основе опыта специалистов центра безопасности компании.
Значительные обновления также коснулись базы данных LogSpace, разработанной для хранения больших объемов информации о событиях из различных источников. Теперь LogSpace поддерживает горизонтальное масштабирование и доступна для организаций с географически распределенной инфраструктурой. Это позволяет фильтровать события в одном приложении, снижая стоимость долгосрочного хранения событий до четырех раз при сохранении возможности их оперативного анализа.
Positive Technologies выпустила новую версию системы мониторинга событий информационной безопасности и управления инцидентами — MaxPatrol SIEM 8.2. Обновления направлены на улучшение работы аналитиков, позволяя им эффективнее выявлять атаки и снимая часть рутинных задач, что увеличивает скорость реагирования на инциденты. В новой версии также расширены возможности использования алгоритмов машинного обучения.
Ключевое улучшение в MaxPatrol SIEM 8.2 заключается в использовании машинного обучения не только для получения второго мнения, но и для обнаружения целенаправленных атак и неизвестных уязвимостей. Обновлённый мониторинг источников позволяет исключить слепые зоны и обеспечивает непрерывный контроль инфраструктуры. Также появилась возможность хранения в два раза большего объема данных на вычислительных ресурсах, аналогичных ресурсам open-source-решений, с централизованным поиском через единую базу данных LogSpace.
В компании отмечает, что каждый новый выпуск системы направлен на повышение удобства и эффективности работы операторов в части обнаружения атак и снижение нагрузки на специалистов. В системе сочетается знание о том, где и что искать, а также рекомендации по действиям с найденными угрозами. Обновленный мониторинг источников, усовершенствование алгоритмов машинного обучения, и масштабируемость LogSpace вместе с известными пользователям функциями обеспечивают качественное обнаружение и помогают операторам быстрее и точнее реагировать на атаки.
С версии 8.0 MaxPatrol SIEM интегрирован с модулем поведенческого анализа BAD (Behavioral Anomaly Detection). Изначально этот ML-помощник служил для подтверждения срабатывания правил корреляции, снижая когнитивную нагрузку аналитиков и позволяя им быстрее принимать решения по инцидентам. В новой версии расширенная интеграция с BAD позволяет выявлять неизвестные атаки и обходы стандартных правил корреляции, используя около 50 моделей машинного обучения, разработанных на основе многолетнего опыта компании в расследовании инцидентов. Модуль анализирует данные о событиях, пользователях и процессах, присваивая им определенный уровень риска. Операторы теперь могут обнаруживать аномалии не только в Windows, но и в Unix-подобных системах и сетевом оборудовании.
Обновленный мониторинг источников в MaxPatrol SIEM 8.2 позволяет контролировать полноту и качество сбора данных со всех источников, исключая слепые зоны. Система обнаруживает источники, для которых не настроен мониторинг, и предоставляет рекомендации по его настройке для обеспечения качественного обнаружения угроз. В системе заложены экспертные знания о правильном мониторинге более 350 источников событий, включая требования к потоку событий и наличию необходимых идентификаторов. Рекомендации обновляются на основе опыта специалистов центра безопасности компании.
Значительные обновления также коснулись базы данных LogSpace, разработанной для хранения больших объемов информации о событиях из различных источников. Теперь LogSpace поддерживает горизонтальное масштабирование и доступна для организаций с географически распределенной инфраструктурой. Это позволяет фильтровать события в одном приложении, снижая стоимость долгосрочного хранения событий до четырех раз при сохранении возможности их оперативного анализа.
- Источник новости
- www.securitylab.ru
