MaxPatrol SIEM
MaxPatrol SIEM — это программный продукт класса SIEM (Security Information and Event Management), предназначенный для сбора, нормализации, корреляции и анализа событий информационной безопасности, а также для автоматизированного реагирования на инциденты. Разработчик — российская компания Positive Technologies. Система позволяет в реальном времени выявлять кибератаки, нарушения политик безопасности и другие аномалии в корпоративных сетях, поддерживая обнаружение как известных, так и неизвестных угроз на основе анализа поведения.
Функциональные возможности
MaxPatrol SIEM реализует стандартные функции систем класса SIEM, дополняя их рядом уникальных механизмов.
Сбор и нормализация событий
Система способна собирать события более чем от 300 типов источников, включая межсетевые экраны (например, UserGate, Check Point), антивирусные решения (Kaspersky, Dr.Web), операционные системы (Windows, Linux, FreeBSD), системы управления базами данных (Oracle, PostgreSQL), средства защиты веб-приложений и сетевое оборудование (Cisco, MikroTik). MaxPatrol SIEM поддерживает стандартные протоколы Syslog, SNMP, NetFlow, а также API для интеграции с современными облачными сервисами. Сбор данных может осуществляться как по расписанию, так и в режиме реального времени. После сбора события приводятся к единому формату (нормализуются) на основе встроенного классификатора атак (MaxPatrol Attack Classifier), который содержит описания более 5000 сигнатур.
Корреляция и контекстный анализ
Ключевая особенность MaxPatrol SIEM — механизм контекстного анализа, учитывающий не только сами события, но и информацию об активах (версии ПО, установленные обновления, критичность системы). Корреляция событий осуществляется на основе правил, написанных на языке корреляции собственной разработки (похожем на SQL), и на основе поведенческих паттернов. Система выделяет не просто отдельные аномалии, а выстраивает цепочки атак (Attack Chains), что позволяет выявить многоступенчатые вторжения, которые маскируются под легитимные действия. Для этого используется автоматическое построение графа атаки, отображающего этапы продвижения злоумышленника по сети.
Реагирование на инциденты
MaxPatrol SIEM интегрирована с другими продуктами Positive Technologies: MaxPatrol VM (управление уязвимостями), MaxPatrol EDR (защита конечных точек) и PT Sandbox (анализ вредоносных файлов). В ответ на обнаружение угрозы система может автоматически запускать сценарии реагирования, например:
- блокировать IP-адрес злоумышленника на межсетевом экране;
- изолировать зараженный компьютер в сети;
- завершить подозрительный процесс;
- создать заявку в Service Desk (интеграция с Kaspersky Security Center, IBM QRadar, ServiceNow и др.).
Визуализация и отчетность
Интерфейс MaxPatrol SIEM предоставляет дашборды (панели мониторинга), на которых в реальном времени отображается топология сети, карта атак, статус активов и текущие инциденты. Система генерирует отчеты, соответствующие требованиям российских регуляторов (ФСТЭК России, ЦБ РФ, Минцифры), включая отчеты по инцидентам, по уязвимостям, по статусу обработки событий и по выполнению регламентов. Форматы отчетов: DOCX, PDF, XLSX, PDF/A. Предусмотрена возможность настройки автоматической рассылки отчетов по расписанию.
Архитектура
Архитектура MaxPatrol SIEM является модульной и масштабируемой, поддерживает как локальное развертывание (on-premise), так и облачные среды (в том числе на платформе Yandex Cloud).
Компоненты системы
- Коллекторы (Collectors) — программные модули, устанавливаемые непосредственно на серверах-источниках или на выделенных серверах сбора. Они выполняют первичную фильтрацию, нормализацию и сжатие данных перед отправкой на центральный сервер.
- Сервер обработки (Core Server) — центральный узел, осуществляющий корреляцию событий, управление правилами, хранение данных в реляционном хранилище (PostgreSQL) и в полнотекстовом индексе (Elasticsearch).
- Хранилище (Storage) — система долгосрочного хранения событий. MaxPatrol SIEM может использовать собственную СУБД или сторонние решения (например, ClickHouse для ускорения запросов). Срок хранения событий задается администратором (обычно от 30 до 365 дней).
- Веб-интерфейс (UI) — основной интерфейс для операторов безопасности, аналитиков и администраторов. Доступен через защищенное HTTPS-соединение.
- Модуль отчетности (Reporter) — компонент, формирующий и рассылающий отчеты. Может работать в автономном режиме, без подключения к сети.
Масштабирование
Система поддерживает кластеризацию (вертикальное и горизонтальное масштабирование) для обработки потоков до 100 000 событий в секунду и хранения до 100 ТБ данных. В типовой конфигурации для среднего предприятия (до 1000 рабочих станций) используется один сервер с 16 ядрами CPU и 64 ГБ ОЗУ.
История развития
Первая версия MaxPatrol SIEM была выпущена компанией Positive Technologies в 2014 году. Она базировалась на собственном движке корреляции и классификаторе атак, ранее использовавшемся в продукте MaxPatrol (позднее переименованном в MaxPatrol VM). В 2016 году вышла версия 2.0, включившая поддержку интеграции с Active Directory и систему управления активами. В 2018 году, с выходом версии 3.0, была добавлена поддержка автоматического реагирования и механизм контекстного анализа.
В 2020 году, после перехода на архитектуру «Коллектор — Сервер — Хранилище», производительность системы была увеличена втрое. Версия 4.0 (2022 год) представила интеграцию с MaxPatrol EDR и PT Sandbox, а также поддержку облачных платформ. Последняя стабильная версия на начало 2025 года — 4.2, в которой улучшена работа с моделями машинного обучения для выявления аномалий и добавлена поддержка новых источников событий, включая устройства Интернета вещей (IoT).
Сравнение с аналогами
MaxPatrol SIEM входит в реестр отечественного программного обеспечения (№ 1 в категории «SIEM» по количеству установок по данным Минцифры на 2024 год). На российском рынке основными конкурентами являются:
- Kaspersky Unified Monitoring and Analysis Platform (KUMA) — от «Лаборатории Касперского». Отличается встроенным сетевым анализатором трафика (NTA) и поддержкой контейнеризации на основе Kubernetes.
- Security Capsule SIEM — от компании InfoWatch. Фокусируется на защите данных и предотвращении утечек (DLP), в отличие от MaxPatrol, который ориентирован на обнаружение сложных атак.
- R-Vision SIEM — платформа, интегрированная с системой управления инцидентами (SOAR) и GRC-модулем.
В сравнении с зарубежными аналогами (Splunk Enterprise Security, IBM QRadar, ArcSight) MaxPatrol SIEM имеет следующие особенности:
- Полная локализация и соответствие требованиям ФСТЭК (сертификация по классу защищенности КВОС 4).
- Отсутствие необходимости в сторонних базах данных (встроенные репозиторий и анализатор).
- Встроенный классификатор атак, адаптированный под российскую специфику угроз (например, атаки на критическую информационную инфраструктуру — КИИ).
Применение
MaxPatrol SIEM широко используется в государственных органах (ФНС, МВД, Роскомнадзор), финансовом секторе (Сбербанк, ВТБ, Альфа-Банк), энергетических компаниях (Россети, Росатом) и телекоммуникационных операторах (Ростелеком, МТС). Система интегрируется в процессы SOC (Security Operation Center) и позволяет сократить время обнаружения инцидента с нескольких часов до минут, а также снизить число ложных срабатываний за счет контекстного анализа.
Критика
Несмотря на высокую функциональность, пользователи отмечают следующие недостатки:
- Сложность первоначальной настройки правил корреляции из-за необходимости глубокого понимания сетевой архитектуры.
- Высокие требования к квалификации операторов (требуется сертификация Positive Technologies).
- Стоимость лицензирования, которая может быть выше аналогов при развертывании в небольших организациях.
- Периодические сбои в работе механизма нормализации при интеграции с нестандартным ПО.
В целях повышения устойчивости продукта разработчик активно занимается устранением этих недостатков в новых версиях.
Интересные факты
- MaxPatrol SIEM является первым российским продуктом класса SIEM, получившим сертификат ФСТЭК по 4-му уровню доверия (2021 год).
- В 2023 году система помогла предотвратить атаку на один из крупных банков, выявив на ранней стадии использование ранее неизвестного вредоносного ПО (zero-day-уязвимость в Citrix).
- На базе платформы MaxPatrol SIEM Positive Technologies регулярно проводит открытые сборы (Capture The Flag) для обучения специалистов кибербезопасности.
Примечания
Источники
- Документация Positive Technologies «MaxPatrol SIEM. Руководство администратора» (версия 4.2), 2024.
- Классификатор атак MaxPatrol Attack Classifier, версия 2024.
- Реестр отечественного программного обеспечения Минцифры РФ.
- «Обзор рынка SIEM в России 2023–2024», Аналитический центр Anti-Malware.ru.
- «Сравнение SIEM-систем: MaxPatrol vs KUMA vs R-Vision», журнал «Информационная безопасность», № 4/2024.
- Отчет Positive Technologies «Атаки на КИИ в России: статистика за 2023 год», 2024.
- Официальный сайт Positive Technologies (раздел MaxPatrol SIEM).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →