Открыть сервис

MaxPatrol

MaxPatrol — это российская платформа для управления информационной безопасностью и соответствия требованиям регуляторов (класс SIEM, SOAR, GRC), разработанная компанией Positive Technologies. Предназначена для сбора, корреляции и анализа событий безопасности, автоматизации реагирования на инциденты, а также для контроля соблюдения нормативных требований (например, 152-ФЗ, PCI DSS, ГОСТ Р 57580.1-2017). Входит в реестр отечественного программного обеспечения Минцифры РФ.

История

Разработка MaxPatrol началась в 2010-х годах как эволюция продуктов Positive Technologies в области анализа защищённости и управления уязвимостями. Первая версия платформы была выпущена в 2013 году под названием MaxPatrol SIEM. В 2015 году вышло обновление с поддержкой корреляции событий и интеграцией с системами класса NGFW. В 2017 году продукт был переименован в MaxPatrol, объединив функции SIEM, SOAR и GRC. В 2020 году была представлена версия 10, включающая модули для анализа сетевого трафика (NTA) и поведенческого анализа (UEBA). В 2022 году, после ухода западных вендоров (Splunk, IBM QRadar) с российского рынка, MaxPatrol стал одним из основных решений для импортозамещения в области информационной безопасности. В 2023 году Positive Technologies анонсировала облачную версию MaxPatrol Cloud.

Архитектура и компоненты

MaxPatrol построена на модульной архитектуре, включающей следующие ключевые компоненты:

Сбор и агрегация данных

  • Коллекторы — агенты, устанавливаемые на серверы и рабочие станции для сбора логов ОС, приложений, баз данных.
  • Сенсоры — пассивные устройства, перехватывающие сетевой трафик (поддержка протоколов NetFlow, IPFIX, sFlow).
  • Коннекторы — модули для интеграции с внешними системами (Active Directory, SIEM-системы, антивирусы, DLP-решения, межсетевые экраны).

Хранение и обработка

  • Центральный сервер — выполняет корреляцию событий, управление правилами и хранение данных (используется СУБД PostgreSQL, ClickHouse).
  • Хранилище событий — обеспечивает долговременное хранение логов (до 3 лет по умолчанию) с возможностью сжатия и шифрования.

Аналитика и реагирование

  • Модуль корреляции — сопоставляет события по временным и логическим правилам (например, «неудачная аутентификация + попытка доступа к базе данных»).
  • SOAR-модуль — автоматизирует реагирование: создание тикетов в Service Desk, блокировка IP-адресов, запуск скриптов.
  • UEBA-модуль — выявляет аномалии в поведении пользователей и устройств (например, скачивание большого объёма данных в нерабочее время).

Управление соответствием (GRC)

  • Модуль комплаенс — автоматически проверяет настройки системы на соответствие требованиям регуляторов (152-ФЗ, PCI DSS, ISO 27001).
  • Панель отчётности — генерирует отчёты для аудиторов и регуляторов (ФСТЭК России, Банка России).

Классификация

MaxPatrol относится к классу SIEM (Security Information and Event Management) с расширенными функциями SOAR и GRC. В зависимости от редакции выделяют:

  • MaxPatrol SIEM — базовая версия для сбора и корреляции событий (до 5000 событий в секунду).
  • MaxPatrol SOAR — версия с автоматизацией реагирования (до 1000 правил).
  • MaxPatrol GRC — версия для управления соответствием (до 50 проверяемых систем).
  • MaxPatrol Enterprise — полная версия для крупных организаций (до 100 000 событий в секунду, неограниченное количество правил).

Применение

MaxPatrol используется в следующих сценариях:

Мониторинг инцидентов безопасности

  • Выявление атак (например, DDoS, SQL-инъекции, фишинг).
  • Обнаружение вредоносного ПО (через сигнатуры и поведенческий анализ).
  • Контроль целостности файлов и реестра.

Реагирование на инциденты

  • Автоматическое создание заявок в Service Desk (через интеграцию с Jira, ServiceNow, ELMA).
  • Блокировка подозрительных IP-адресов на межсетевых экранах (Check Point, UserGate, Ideco).
  • Изоляция заражённых рабочих станций (через Active Directory).

Соответствие требованиям

  • Проверка на соответствие 152-ФЗ (защита персональных данных).
  • Аудит по стандарту PCI DSS (для организаций, обрабатывающих банковские карты).
  • Контроль выполнения требований ГОСТ Р 57580.1-2017 (для финансового сектора).

Анализ угроз

  • Интеграция с базами данных уязвимостей (CVE, MITRE ATT&CK).
  • Построение карты атак (kill chain) для расследования инцидентов.

Примеры внедрения

MaxPatrol внедрён в ряде крупных российских организаций:

  • Сбербанк — используется для мониторинга 100 000+ устройств, обработки 50 000 событий в секунду.
  • Росатом — применяется для контроля безопасности на объектах атомной энергетики.
  • Почта России — обеспечивает соответствие требованиям 152-ФЗ для 40 000 отделений.
  • Московская биржа — используется для обнаружения атак на торговые системы.

Критика

  • Высокая стоимость — лицензия на Enterprise-версию может превышать 10 млн рублей в год, что делает продукт недоступным для малого бизнеса.
  • Сложность настройки — требуется квалифицированный персонал (обычно не менее 2-3 администраторов).
  • Зависимость от экосистемы — MaxPatrol лучше всего работает с продуктами Positive Technologies (MaxPatrol VM, PT Application Firewall), интеграция с решениями других вендоров может быть ограничена.
  • Производительность — при обработке более 50 000 событий в секунду возможны задержки в корреляции (до 10 минут).

Интересные факты

  • MaxPatrol является одним из немногих российских SIEM-решений, сертифицированных ФСТЭК России по 4-му уровню доверия (для защиты государственной тайны).
  • В 2022 году Positive Technologies открыла исходный код некоторых модулей MaxPatrol (например, коннекторов для Linux) для ускорения импортозамещения.
  • Платформа поддерживает более 300 типов источников событий (Windows Event Log, Syslog, JSON, XML).

Источники

  • Positive Technologies. «MaxPatrol: Руководство администратора». 2023.
  • ФСТЭК России. «Реестр сертифицированных средств защиты информации». 2024.
  • CNews. «Рынок SIEM в России: обзор 2023». 2023.
  • TAdviser. «MaxPatrol: история и внедрения». 2024.
  • PCI Security Standards Council. «PCI DSS v4.0». 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →