На гребне - positive technologies · ptsecurity.com На гребне : новые...

ptsecurity.com

На гребне ИБ: новые возможности MaxPatrol SIEM

Михаил Домалевский,

менеджер по продвижению продуктов

[email protected]

Предыстория создания MaxPatrol SIEM

MaxPatrol SIEM: единая платформа безопасности

Network Compliance &

Control

Threat

Modeling

Host Compliance &

Control

Network Storage &

Forensic

Vulnerability

Management

Записи вебинаров о

MaxPatrol SIEM:

• MaxPatrol SIEM 2.0 — новая точка отсчета! - ptsecurity.com/ru-

ru/research/webinar/75600/

• Внедрение и эксплуатация MaxPatrolSIEM: от теории к практике –ptsecurity.com/ru-ru/research/webinar/117103/

https://www.ptsecurity.com/ru-ru/research/webinar/75600/

https://www.ptsecurity.com/ru-ru/research/webinar/117103/

What’s new?

Новое в MaxPatrol SIEM

Инвентаризация

инфраструктуры

Проактивное

обнаружение

Реагирование

на инциденты

MaxPatrol SIEMинвентаризация IT-инфраструктуры

MaxPatrol SIEM: новый алгоритм идентификации активов



Реагирование на

инциденты

Как это вижу я



Точная модель инфраструктуры

Привязка событий к активам

Идентификация активов даже после

смены:

• IP-адреса,

• MAC-адреса,

• Hostname и др.

Как это делает MaxPatrol SIEM

MaxPatrol SIEM: поиск активов по любым правилам

Окей, МаксПатрол






инциденты

[email protected] = ‘CVE-2017-0145’

Host[@ip in 192.168.1.0/24 and not softs[name like ‘%YourAntivirus%’]]

WHERE

WHERE

MaxPatrol SIEMпроактивное обнаружение

MaxPatrol SIEM: архитектура системы

Модуль сбора и анализа

сетевого трафика

Рабочая станция

с endpoint-агентом

MaxPatrol SIEM: сбор и анализ сетевого трафика






инциденты

Network Layer

Transport Layer

Session Layer

Presentation Layer

Application Layer

Physical Layer

Datalink Layer

Обнаружение

новых активов

Выявление открытых

портов и запущенных

сервисов

Наполнение

конфигурации активов

Комплексный анализ

сетевого трафика

Network

Sensor

MaxPatrol SIEM: анализ данных с конечных точек






инциденты

Файловые

события

Endpoint Monitor

Загрузка

библиотек

Запуск

процессов

Изменения

реестраСетевые

соединенияПользователь-

ская активность

Выявление

потенциально

опасных действий

Обнаружение атак

на ранних этапах

Обнаружение

активности

вредоносного ПО

MaxPatrol SIEM: расчет вариантов маршрутов атак




инциденты

Анализ доступности сетевых

адресов, протоколов и портов

Проверка правильности настройки

межсетевых экранов и таблиц

маршрутизации

Повышение оперативности

внесения изменений в правила

доступа и настройки

оборудования



MaxPatrol SIEM: передача экспертизы в продукт

Positive Technologies

Knowledge Base (PT KB)

• Уязвимости с привязкой к ПО и сигнатуры

• Правила нормализации и корреляции, справочники

• Данные об ОС, ПО, сетевом оборудовании






инциденты

MaxPatrol SIEMреагирование на инциденты

MaxPatrol SIEM: визуализация и отчетность






инциденты

Настраиваемые дашборды и

пользовательские виджеты

Детализация информации с

дашбордов «в один клик»

Автоматическое создание отчетов

Отправка отчетов по расписанию

Kill

ch

ain

pro

gres

s

Time

MaxPatrol SIEM: корреляции во времени

* Assumption: 100% Time/Events visibility

!!!




инциденты



Intensity

Severity

MaxPatrol SIEM: экспорт/импорт данных во внешние системы




инциденты



MaxPatrol SIEM

ГосСОПКА Telegram-bot

Интеграция на новом публичном уровне

Корпоративный

портал

Самописные

приложения

+ Быстрый переход с устаревших систем выявления инцидентов ИБ

Демонстрация

ptsecurity.ru

Новое в MaxPatrol SIEM

Инвентаризация ИТ-инфраструктуры

Проактивное обнаружение

Реагирование на инциденты

• новый алгоритм идентификации активов

• поиск активов по любым правилам

• модуль Network Sensor

• модуль Endpoint Monitor

• расчет вариантов маршрутов атак

• Positive Technologies Knowledge Base

• визуализация и отчетность

• корреляции во времени

• экспорт данных во внешние системы

На гребне - positive technologies · ptsecurity.com На гребне : новые...

Documents