MaxPatrol EDR

Цена по запросу

Связаться с менеджером

MaxPatrol EDR: защита конечных точек и реагирование на угрозы

MaxPatrol EDR — система обнаружения и реагирования на угрозы на уровне конечных точек. Агент устанавливается на рабочие станции и серверы, непрерывно собирает телеметрию и передаёт её на централизованный сервер, где запускается анализ поведения и поиск индикаторов компрометации.

Что собирает агент

Поддерживаются Windows, Linux и macOS. После установки агент фиксирует события: запуск процессов, сетевые соединения, операции с файлами, изменения в реестре, активность пользователей. Данные поступают на сервер практически в режиме реального времени без заметной нагрузки на хост. Агент работает в фоне — пользователь его не замечает.

EDR-анализ сопоставляет события с поведенческими моделями и базой индикаторов атак. Система обнаруживает не только известные угрозы по сигнатурам, но и нетипичное поведение: бесфайловые атаки, использование легитимных инструментов в злонамеренных целях, горизонтальное перемещение по инфраструктуре. Правила обнаружения обновляются централизованно — администратор не настраивает каждый агент по отдельности, изменения применяются ко всей инфраструктуре разом и вступают в силу без перезапуска.

Возможности реагирования

Обнаружив угрозу, аналитик может изолировать хост прямо из консоли без физического доступа к устройству. Дальнейшее расследование ведётся там же: граф атаки показывает цепочку процессов, файлов и соединений, связанных с инцидентом.

Доступные действия при реагировании:

изоляция хоста от сети с сохранением канала управления;
завершение вредоносного процесса;
удаление или карантин файла;
сбор криминалистического образа памяти;
запуск автоматического сценария реагирования по заданному условию.

Телеметрия хранится на настраиваемый период — это даёт возможность расследовать инциденты ретроспективно. Даже если вредоносная активность была незаметна в момент возникновения, данные на сервере сохраняются и доступны для анализа позже. Ретроспективный поиск по индикаторам запускается вручную или автоматически при обновлении базы.

Интеграция и смежные продукты

MaxPatrol EDR управляется через единую консоль. Политики, правила и обновления базы компрометации применяются ко всем агентам централизованно и не требуют перезагрузки хоста. Отчёты по инцидентам и статусу агентов доступны в том же интерфейсе.

Система интегрируется с MaxPatrol SIEM — события телеметрии конечных точек поступают в общий поток для корреляции с данными из сети, прокси и других источников. Для работы с уязвимостями на тех же хостах в линейке Positive Technologies предусмотрен MaxPatrol VM — продукт управления уязвимостями. Эти инструменты дополняют друг друга: EDR закрывает обнаружение атак, VM — приоритизацию и устранение слабых мест в защите инфраструктуры.