В июне Positive Technologies выпустила новую версию системы MaxPatrol SIEM — 8.2. Новые функции позволяют повысить результативность работы аналитиков и выявлять даже неизвестные атаки и аномалии.
- Введение
- Behavioral Anomaly Detection (BAD) — второе мнение и вторая линия защиты
- Мониторинг источников 2.0
- Выводы
Введение
В продукте MaxPatrol SIEM 8.2 мы сконцентрировались на доработках по повышению удобства расследования ИБ-инцидентов за счёт использования подсистемы Behavioral Anomaly Detection (BAD), обеспечивающей поддержку принятия решений и выявление аномалий. В основе этого модуля — машинное обучение (ML).
Новая активоцентричная функциональность по мониторингу источников в версии 8.2 теперь позволяет контролировать не только поток, но и качество поступающих событий.
Behavioral Anomaly Detection (BAD) — второе мнение и вторая линия защиты
Модуль BAD, поставляющий в поля корреляционных событий информацию об оценке риска (risk score), позволяет упростить процедуру выбора событий для анализа: теперь можно сортировать и группировать их по величине риска. Такой подход помогает снизить нагрузку на оператора MaxPatrol SIEM и повысить качество принимаемых экспертами решений.
Кроме того, модуль BAD может выступать вторым эшелоном защиты — инструментом, который осуществляет параллельно с MaxPatrol SIEM потоковую обработку входящих событий и предоставляет «второе мнение».
Модуль BAD значительно облегчает работу при первичном анализе событий, акцентируя внимание на наиболее рискованных.
Рисунок 1. Корреляционных событий с высокой оценкой риска не так много
Рисунок 2. Сортировка корреляционных событий по величине риска
Модуль BAD может использоваться также для обнаружения попыток хакера обойти правила корреляции.
Рисунок 3. Собственные события от BAD, сгруппированные по процессу
Больше деталей можно узнать в нашей статье на «Хабре».
Мониторинг источников 2.0
Для уменьшения вероятности пропуска ИБ-инцидентов необходимо обеспечить полноту и качество собираемых для анализа данных от источников. Отслеживание состояния источников событий и потока поступающих от них данных — одна из первоочередных и постоянных задач службы отвечающей за мониторинг ИБ. При этом исчезновение потока событий, отправка некачественных данных являются инцидентами, на которые необходимо оперативно реагировать.
С мониторингом источников 2.0 в MaxPatrol SIEM возможна гибкая настройка:
- контроля активности источника,
- контроля потока событий от источника,
- контроля задержки,
- контроля потока событий в схемах развёртывания MaxPatrol SIEM с несколькими конвейерами,
- автогенерации события в MaxPatrol SIEM по нарушению контролей,
- уведомлений при нарушении правил политики мониторинга источников.
Отличительная особенность мониторинга источников 2.0 — активоцентричность. Эксперты Positive Technologies формируют артефакт типов источников для мониторинга, содержащий информацию о том, какие источники рекомендуется ставить на мониторинг, какие шаблонные требования к контролю для тех или иных типов источников необходимо использовать, какие данные от того или иного актива нужно отправлять на мониторинг.
Выводы
Если описывать MaxPatrol SIEM 8.2 одним словом, то это будет «результативность». Во-первых, MaxPatrol SIEM может использовать модуль BAD для повышения точности и скорости принимаемых оператором решений. Во-вторых, фокусировка на контроле полноты и качества потока данных для анализа позволяет оперативнее реагировать на случайные либо преднамеренные изменения ИТ-ландшафта, которые могут привести к пропуску реального инцидента.
Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, ОГРН 1077761087117
ERID: 2VfnxyUqte4