Файл: На гребне иб новые возможности MaxPatrol siemмихаил Домалевский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.02.2024
Просмотров: 5
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ptsecurity.com
На гребне ИБ:
новые возможности MaxPatrol SIEM
Михаил Домалевский,
менеджер по продвижению продуктов mdomalevsky@ptsecurity.com
На гребне ИБ:
новые возможности MaxPatrol SIEM
Михаил Домалевский,
менеджер по продвижению продуктов mdomalevsky@ptsecurity.com
Предыстория создания MaxPatrol SIEM
MaxPatrol SIEM:
единая платформа безопасности
Network Compliance &
Control
Threat
Modeling
Host Compliance &
Control
Network Storage &
Forensic
Vulnerability
Management
Записи вебинаров о
MaxPatrol SIEM:
• MaxPatrol SIEM 2.0 — новая точка отсчета! - ptsecurity.com/ru- ru/research/webinar/75600/
• Внедрение и эксплуатация MaxPatrol
SIEM: от теории к практике –
ptsecurity.com/ru-ru/research/webinar/117103/
What’s new?
Новое в MaxPatrol SIEM
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование
на инциденты
MaxPatrol SIEM
инвентаризация IT-инфраструктуры
MaxPatrol SIEM:
новый алгоритм идентификации активов
Проактивное обнаружение
Реагирование на инциденты
Как это вижу я
Инвентаризация инфраструктуры
Точная модель инфраструктуры
Привязка событий к активам
Идентификация активов даже после
смены:
•
IP- адреса,
•
MAC- адреса,
•
Hostname и др.
Как это делает MaxPatrol SIEM
MaxPatrol SIEM
: поиск активов по любым правилам
Окей, МаксПатрол
Проактивное обнаружение
Инвентаризация инфраструктуры
Реагирование на инциденты
Host.@Vulners.CVE = ‘CVE-2017-0145’
Host[@ip in 192.168.1.0/24 and not softs[name like ‘%YourAntivirus%’]]
WHERE
WHERE
MaxPatrol SIEM
проактивное обнаружение
MaxPatrol SIEM:
архитектура системы
Модуль сбора и анализа
сетевого трафика
Рабочая станция
с endpoint-агентом
MaxPatrol SIEM:
сбор и анализ сетевого трафика
Инвентаризация инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
Network Layer
Transport Layer
Session Layer
Presentation Layer
Application Layer
Physical Layer
Datalink Layer
Обнаружение
новых активов
Выявление открытых
портов и запущенных
сервисов
Наполнение
конфигурации активов
Комплексный анализ сетевого трафика
Network
Sensor
MaxPatrol SIEM:
анализ данных с конечных точек
Инвентаризация инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
Файловые события
Endpoint Monitor
Загрузка библиотек
Запуск процессов
Изменения реестра
Сетевые соединения
Пользователь- ская активность
Выявление
потенциально
опасных действий
Обнаружение атак
на ранних этапах
Обнаружение
активности
вредоносного ПО
MaxPatrol SIEM:
расчет вариантов маршрутов атак
Инвентаризация инфраструктуры
Реагирование на инциденты
Анализ доступности сетевых
адресов, протоколов и портов
Проверка правильности настройки
межсетевых экранов и таблиц
маршрутизации
Повышение оперативности
внесения изменений в правила
доступа и настройки
оборудования
Проактивное обнаружение
MaxPatrol SIEM:
передача экспертизы в продукт
Positive Technologies
Knowledge Base (PT KB)
• Уязвимости с привязкой к ПО и сигнатуры
• Правила нормализации и корреляции, справочники
• Данные об ОС, ПО, сетевом оборудовании
Инвентаризация инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
MaxPatrol SIEM
реагирование на инциденты
MaxPatrol SIEM:
визуализация и отчетность
Инвентаризация инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
Настраиваемые дашборды и
пользовательские виджеты
Детализация информации с
дашбордов «в один клик»
Автоматическое создание отчетов
Отправка отчетов по расписанию
Kil l ch ain pr ogr ess
Time
MaxPatrol SIEM:
корреляции во времени
* Assumption: 100% Time/Events visibility
!!!
Инвентаризация инфраструктуры
Реагирование на инциденты
Проактивное обнаружение
Intensity
Severity
MaxPatrol SIEM:
экспорт/импорт данных во внешние системы
Инвентаризация инфраструктуры
Реагирование на инциденты
Проактивное обнаружение
MaxPatrol SIEM
ГосСОПКА
Telegram-bot
Интеграция на новом публичном уровне
Корпоративный
портал
Самописные
приложения
+ Быстрый переход с устаревших систем выявления инцидентов ИБ
Демонстрация ptsecurity.ru
Новое в MaxPatrol SIEM
Инвентаризация ИТ-инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
• новый алгоритм идентификации активов
• поиск активов по любым правилам
• модуль Network Sensor
• модуль Endpoint Monitor
• расчет вариантов маршрутов атак
• Positive Technologies Knowledge Base
• визуализация и отчетность
• корреляции во времени
• экспорт данных во внешние системы