Открыть сервис

MaxPatrol SIEM

MaxPatrol SIEM — это программный продукт класса SIEM (Security Information and Event Management), предназначенный для сбора, нормализации, корреляции и анализа событий информационной безопасности, а также для автоматизированного реагирования на инциденты. Разработчик — российская компания Positive Technologies. Система позволяет в реальном времени выявлять кибератаки, нарушения политик безопасности и другие аномалии в корпоративных сетях, поддерживая обнаружение как известных, так и неизвестных угроз на основе анализа поведения.

Функциональные возможности

MaxPatrol SIEM реализует стандартные функции систем класса SIEM, дополняя их рядом уникальных механизмов.

Сбор и нормализация событий

Система способна собирать события более чем от 300 типов источников, включая межсетевые экраны (например, UserGate, Check Point), антивирусные решения (Kaspersky, Dr.Web), операционные системы (Windows, Linux, FreeBSD), системы управления базами данных (Oracle, PostgreSQL), средства защиты веб-приложений и сетевое оборудование (Cisco, MikroTik). MaxPatrol SIEM поддерживает стандартные протоколы Syslog, SNMP, NetFlow, а также API для интеграции с современными облачными сервисами. Сбор данных может осуществляться как по расписанию, так и в режиме реального времени. После сбора события приводятся к единому формату (нормализуются) на основе встроенного классификатора атак (MaxPatrol Attack Classifier), который содержит описания более 5000 сигнатур.

Корреляция и контекстный анализ

Ключевая особенность MaxPatrol SIEM — механизм контекстного анализа, учитывающий не только сами события, но и информацию об активах (версии ПО, установленные обновления, критичность системы). Корреляция событий осуществляется на основе правил, написанных на языке корреляции собственной разработки (похожем на SQL), и на основе поведенческих паттернов. Система выделяет не просто отдельные аномалии, а выстраивает цепочки атак (Attack Chains), что позволяет выявить многоступенчатые вторжения, которые маскируются под легитимные действия. Для этого используется автоматическое построение графа атаки, отображающего этапы продвижения злоумышленника по сети.

Реагирование на инциденты

MaxPatrol SIEM интегрирована с другими продуктами Positive Technologies: MaxPatrol VM (управление уязвимостями), MaxPatrol EDR (защита конечных точек) и PT Sandbox (анализ вредоносных файлов). В ответ на обнаружение угрозы система может автоматически запускать сценарии реагирования, например:

Визуализация и отчетность

Интерфейс MaxPatrol SIEM предоставляет дашборды (панели мониторинга), на которых в реальном времени отображается топология сети, карта атак, статус активов и текущие инциденты. Система генерирует отчеты, соответствующие требованиям российских регуляторов (ФСТЭК России, ЦБ РФ, Минцифры), включая отчеты по инцидентам, по уязвимостям, по статусу обработки событий и по выполнению регламентов. Форматы отчетов: DOCX, PDF, XLSX, PDF/A. Предусмотрена возможность настройки автоматической рассылки отчетов по расписанию.

Архитектура

Архитектура MaxPatrol SIEM является модульной и масштабируемой, поддерживает как локальное развертывание (on-premise), так и облачные среды (в том числе на платформе Yandex Cloud).

Компоненты системы

Масштабирование

Система поддерживает кластеризацию (вертикальное и горизонтальное масштабирование) для обработки потоков до 100 000 событий в секунду и хранения до 100 ТБ данных. В типовой конфигурации для среднего предприятия (до 1000 рабочих станций) используется один сервер с 16 ядрами CPU и 64 ГБ ОЗУ.

История развития

Первая версия MaxPatrol SIEM была выпущена компанией Positive Technologies в 2014 году. Она базировалась на собственном движке корреляции и классификаторе атак, ранее использовавшемся в продукте MaxPatrol (позднее переименованном в MaxPatrol VM). В 2016 году вышла версия 2.0, включившая поддержку интеграции с Active Directory и систему управления активами. В 2018 году, с выходом версии 3.0, была добавлена поддержка автоматического реагирования и механизм контекстного анализа.

В 2020 году, после перехода на архитектуру «Коллектор — Сервер — Хранилище», производительность системы была увеличена втрое. Версия 4.0 (2022 год) представила интеграцию с MaxPatrol EDR и PT Sandbox, а также поддержку облачных платформ. Последняя стабильная версия на начало 2025 года — 4.2, в которой улучшена работа с моделями машинного обучения для выявления аномалий и добавлена поддержка новых источников событий, включая устройства Интернета вещей (IoT).

Сравнение с аналогами

MaxPatrol SIEM входит в реестр отечественного программного обеспечения (№ 1 в категории «SIEM» по количеству установок по данным Минцифры на 2024 год). На российском рынке основными конкурентами являются:

В сравнении с зарубежными аналогами (Splunk Enterprise Security, IBM QRadar, ArcSight) MaxPatrol SIEM имеет следующие особенности:

Применение

MaxPatrol SIEM широко используется в государственных органах (ФНС, МВД, Роскомнадзор), финансовом секторе (Сбербанк, ВТБ, Альфа-Банк), энергетических компаниях (Россети, Росатом) и телекоммуникационных операторах (Ростелеком, МТС). Система интегрируется в процессы SOC (Security Operation Center) и позволяет сократить время обнаружения инцидента с нескольких часов до минут, а также снизить число ложных срабатываний за счет контекстного анализа.

Критика

Несмотря на высокую функциональность, пользователи отмечают следующие недостатки:

В целях повышения устойчивости продукта разработчик активно занимается устранением этих недостатков в новых версиях.

Интересные факты

Примечания

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →