MaxPatrol SIEM

MaxPatrol SIEM дает полную видимость IT-инфраструктуры малого и среднего масштаба и выявляет инциденты ИБ. Продукт позволяет получить полноценную работающую SIEM-систему при меньшем бюджете.

• Выявляет самые актуальные угрозы.
  Знания наших экспертов о способах обнаружения новых угроз регулярно передаются в единую базу знаний PT Knowledge Base в виде пакетов экспертизы.
  MaxPatrol SIEM автоматически получает знания из PT KB, что помогает пользователям детектировать актуальные техники и тактики атак до наступления серьезных последствий.


• Снижает трудозатраты экспертов в компании.
  В основе пакетов экспертизы — непрерывный мониторинг новых угроз, изучение атак и расследование сложных инцидентов. Это снижает потребность ваших специалистов по ИБ в мониторинге актуальных атак и написании собственных правил. Правила в составе пакетов экспертизы не требуют трудоемкой адаптации и готовы к работе сразу после простой настройки.


• Дает полную видимость инфраструктуры.
  Технология детальной инвентаризации, созданная на базе системы MaxPatrol 8, дает MaxPatrol SIEM подробную информацию о каждом активе и уязвимых местах, показывая оператору ИБ, что происходит в инфраструктуре. Сведения собираются более чем с 300 систем — активно и пассивно.

Ключевые возможности

• Отслеживайте общее состояние ИБ в организации.
  Для оперативного мониторинга состояния ИБ в организации на дашбордах отображается сводная информация о событиях, инцидентах, уязвимостях активов в инфраструктуре, срабатывании правил. Пользователи могут собирать дашборды под отдельные задачи — выбрать подходящие виджеты более чем из 20 предустановленных или создать собственные.


• Получите полную видимость IT-инфраструктуры.
  MaxPatrol SIEM собирает данные обо всех элементах инфраструктуры, подключенных к сети, то есть IT-активах. Благодаря технологии детальной инвентаризации MaxPatrol SIEM имеет подробную информацию о каждом активе на любой момент времени: знает об установленном ПО, событиях ИБ, уязвимостях, о конфигурации, топологии. Сведения собираются и активно, и пассивно.


• Устанавливайте новые способы выявления угроз в два клика.
  Каждый пакет экспертизы сопровождает подробное описание, доступное прямо из интерфейса: какие правила в составе, как настроить источники событий, как правильно реагировать на инцидент. Установить пакет на свою инсталляцию можно в два клика.


• Ищите атаки в прошлом.
  В MaxPatrol SIEM возможно проводить ретроспективный анализ двумя способами: по индикаторам компрометации и по правилам корреляции. После установки правил корреляции или загрузки новых индикаторов, можно еще раз «проиграть» поток поступивших ранее событий и применить к ним новые знания.


• Отслеживайте состояние ИБ в крупных инфраструктурах.
  Пользователи MaxPatrol SIEM в организациях с крупной иерархической инфраструктурой могут отслеживать состояние ИБ и выявлять распределенные атаки на отдельное подразделение или на предприятие в целом. С помощью панели инструментов оператор создает площадки с развернутой конфигурацией MaxPatrol SIEM, располагает их в иерархию и настраивает передачу данных в режиме реального времени.


• Правила для выявления инцидентов — за несколько кликов.
  Чтобы создать собственные правила корреляции, пользователю MaxPatrol SIEM не нужно осваивать язык написания правил, достаточно воспользоваться специальным конструктором. С его помощью вы можете выбрать необходимые события, настроить их последовательность и задать условия для срабатывания правила — шаг за шагом.


• Контролируйте работу источников данных.
  MaxPatrol SIEM позволяет гибко настроить мониторинг источников с учетом их типичной активности (например, ночью меньше событий, чем днем). Если источник недоступен, обнаружены аномалии в потоке событий или задержки в получении данных, оператор системы получает уведомление, чтобы вовремя среагировать.


• Настраивайте систему по чек-листу.
  Чек-лист настройки системы помогает быстро получить работающий SIEM без изучения многостраничной документации. В нем 11 шагов, необходимых для старта системы. Для каждого шага есть инструкция, которую нужно выполнить, и ссылки на подробные материалы.


• Оценивайте реализуемость атак.
  На основании модели IT-инфраструктуры система автоматически строит и обновляет топологию сети. Благодаря ей оператор системы лучше понимает защищаемую инфраструктуру, проверяет доступность активов по портам, оценивает реализуемость атак и расследует инциденты.


• Оценивайте общий уровень защищенности.
  Специальный модуль PT Security Intelligence Portal помогает оценить общий уровень защищенности организации с территориально распределенной инфраструктурой, выявить проблемы и понять их причины.