MaxPatrol SIEM и новый AI/ML-модуль MaxPatrol BAD: полный контроль над аномалиями | Positive Technologies
Совсем недавно Positive Technologies выпустили новое обновление AI/ML-модуля MaxPatrol BAD (Behavioral Anomaly Detection) в составе MaxPatrol SIEM, так что теперь время работает на вас.
MaxPatrol SIEM – это система, которая предназначена для сбора, хранения и анализа данных о событиях, происходящих в IT-инфраструктуре организации. Это позволяет обеспечивать мониторинг информационной безопасности как всей инфраструктуры, так и отдельных подразделений, узлов и приложений.
MaxPatrol SIEM предоставляет следующие основные возможности:
- Инвентаризация активов. Система регулярно собирает данные о сетевых узлах и связях между ними.
- Сбор данных о событиях. В качестве источника событий может выступать любое поддерживаемое оборудование или ПО.
- Анализ событий для выявления инцидентов ИБ. Набор специальных правил, на основе которых выполняется анализ, постоянно пополняется экспертами Positive Technologies.
- Управление инцидентами ИБ. Система помогает организовать работу по расследованию инцидентов информационной безопасности и устранению их последствий.
- Визуализация данных. Сводная информация об активах, событиях и инцидентах отображается в веб-интерфейсе системы в виде диаграмм и таблиц.
MaxPatrol Behavioral Anomaly Detection (MaxPatrol BAD) – система, которая обнаруживает аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивает степень риска событий с помощью моделей машинного обучения.
MaxPatrol BAD получает данные о событиях из конвейеров обработки событий MaxPatrol 10. На основе этих данных происходит обучение ML-моделей, которые выделяют среди всех событий аномальные, после чего результаты автоматического анализа поведения поступают в конвейер обработки событий.
Ключевые функции MaxPatrol BAD:
- Обогащение событий оценкой риска и ненормализованной оценкой риска;
- Создание собственных корреляционных событий на основе индикаторов поведения MaxPatrol BAD;
- Поиск признаков подозрительной активности в цепочках процессов.
Новый MaxPatrol BAD – это отдельное приложение с улучшенной функциональностью, которая позволяет анализировать события и активность процессов с дополнительным контекстом.
Теперь для одного экземпляра MaxPatrol BAD можно установить несколько анализаторов поведения и подключить их к любым конвейерам обработки событий MaxPatrol SIEM на ваш выбор.
Больше данных в удобной форме: в карточке события отображаются оценки риска, признаки аномальной активности в цепочках процессов, исходные события.
Новая форма обратной связи о событиях, которые обработала система. В карточке события MaxPatrol BAD можно выбрать характеристику: подозрительная или легитимная активность. Это не повлияет на результаты анализа поведения напрямую, но поможет скорректировать обучающую выборку для ML-моделей в следующих версиях MaxPatrol BAD.
В MaxPatrol SIEM добавлены фильтры для анализа событий, обработанных MaxPatrol BAD и дашборды BAD Threat Detection и BAD Health Monitor.
MaxPatrol SIEM с обновлённым модулем MaxPatrol BAD открывает новые возможности для мониторинга и анализа безопасности. Если вы хотите узнать, как внедрить решение под задачи вашей компании, свяжитесь с экспертами ABIS и обеспечим вам сопровождение на каждом этапе:
📞 +375 (29) 360 23 43, +375 (33) 360 23 43
📧 Напишите нам: info@abis.by
✅ Подробнее о решении 👉🏻 MaxPatrol SIEM
