Расследование инцидентов и управление SOC в единой системе: Positive Technologies выпустила MaxPatrol 360
После его внедрения эффективность работы служб ИБ и центров мониторинга кибербезопасности повышается на 30–50%.
MaxPatrol 360 — единый центр управления расследованиями и операционной работой SOC — пополнил продуктовый портфель Positive Technologies. Решение помогает аналитикам SOC, сотрудникам подразделений ИБ централизованно управлять безопасностью инфраструктуры и процессами SOC из единого интерфейса, быстрее реагировать на инциденты и расследовать их, снижая объем ручных операций.
Киберпреступники постоянно придумывают новые тактики и техники нападения, активно используя для этого ИИ. В результате службы ИБ оказываются крайне перегружены рутинными операциями. Времени у аналитика на анализ уведомлений и верификацию инцидентов остается критически мало. При этом разрозненные средства защиты инфраструктуры генерируют все больше уведомлений, не связанных между собой единым контекстом.
У рынка созрела потребность в едином решении, которое не только выявляет инциденты ИБ но и позволяет организовать операционную деятельность SOC и службы ИБ, без необходимости переключения между СЗИ. Обеспечить полный цикл обработки инцидентов (от обнаружения до устранения инцидента и последующего улучшения правил детектирования), автоматизировать рутинные действия и качественно улучшить работу аналитиков SOC теперь может MaxPatrol 360.
Ключевая особенность MaxPatrol 360 заключается во всесторонней поддержке деятельности SOC. Например, в продукте есть централизованное управление экспертизой SIEM-системы и контроль ее распространения в рамках множества инстансов. Эта функция особенно полезна клиентам, которые контролируют многочисленные ИТ-системы либо безопасность ряда компаний. Для повышения эффективности анализа срабатываний СЗИ необходимо, чтобы защищаемые организации использовали одни и те же модели поведения и подходы к определению подозрительной и вредоносной активности, а также, чтобы создаваемые события ИБ обрабатывались единообразно и в режиме одного окна. В свою очередь, поддержка мультитенантности позволяет централизованно управлять десятками инфраструктур внутри единой консоли. За счет унификации детектирующих подходов и централизации работ в единой консоли эффективность команд по ИБ, которые используют MaxPatrol 360, возрастает на 30–50%. Еще одна особенность MaxPatrol 360 – гибкость и масштабируемость: клиенты и интеграторы могут самостоятельно писать и добавлять необходимые интеграции и коннекторы, используя открытый API, что позволяет подстроить продукт под потребности бизнеса.
Для управления расследованиями и автоматизации обработки киберинцидентов MaxPatrol 360 собирает информацию со средств защиты, установленных в инфраструктуре. Это могут быть как решения экосистемы вендора, так и стороннего производства. Так, с помощью продуктов Positive Technologies клиенты могут c минимумом ложных срабатываний детектировать нелегитимную и вредоносную активность в сетевом трафике (PT NAD) и на конечных узлах (MaxPatrol EDR, MaxPatrol EPP), нетипичное поведение в логах (MaxPatrol SIEM), а также уязвимости на активах (MaxPatrol VM).
Продукт подойдет компаниям любого масштаба, независимо от сферы деятельности. Среди них — холдинги и корпорации с территориально разветвленной инфраструктурой, ведомства и органы власти с большой сетью удаленных филиалов, провайдеры услуг безопасности (MSSP), текущие и потенциальные партнеры Positive Technologies. Помимо этого, MaxPatrol 360 будет интересен небольшому бизнесу и субъектам КИИ: возможности решения можно использовать для автоматизации внутренних запросов отдела ИБ и обеспечения коммуникации между направлениями ИБ и ИТ, а также для взаимодействия с регуляторами (НКЦКИ, ГосСОПКА и ФинЦЕРТ) посредством встроенных расширений.
«MaxPatrol 360 — новое слово в управлении киберустойчивостью распределенных инфраструктур. Мы предлагаем единое решение с современным технологическим стеком, которое автоматизирует рутинные функции SOC и отделов ИБ, аккумулируя в одном рабочем окне все события, инциденты и действия операторов. Продукт повышает прозрачность операционной деятельности команд по ИБ и радикально влияет на их продуктивность, собирая все алерты с СЗИ в общий контекст и при необходимости реализуя запуск защитных мер для реагирования либо восстановления защищенности инфраструктуры», — рассказывает Иван Прохоров, руководитель продукта MaxPatrol 360.
Positive Technologies при создании MaxPatrol 360 опиралась на глобальные практики развития продуктов для ИБ, а также собственный опыт. Так, при разработке коннектора к системе управления событиями ИБ MaxPatrol SIEM учитывался опыт создания и поддержки работы системы в организациях разного масштаба. При проектировании MaxPatrol 360 применялись тренды в оптимизации, автоматизации и ускорении разработки с использованием ИИ и машинного обучения. Использование этих подходов позволило внедрить в продукт модуль Incident Management для централизованной мультитенантной работы с инцидентами из различных источников, сервис централизованного администрирования экспертизы SIEM-системы, движок автоматизации и плейбуки.
По оценке Positive Technologies, задачи, выполняемые MaxPatrol 360, не могут быть в полном объеме реализованы системами других классов. Ближе всего по функциональности находятся IRP- и SOAR-решения, рынок которых в России в 2025 году ЦСР оценил в 5 млрд рублей. Мы уверены, что система займет свое место на рынке, так как пилотные внедрения в инфраструктуру клиентов уже доказали эффективность работы MaxPatrol 360. Кроме того, изучив представленные на мировом рынке инструменты и проанализировав запросы основных игроков, мы ожидаем, что новый продукт будет востребован за рубежом, что подтверждают иностранные партнеры Positive Technologies.
MaxPatrol 360 уже доступен в формате on-premise, а в ближайшее время будет и в облачном исполнении. Систему отличает легкая интеграция в рабочие процессы SOC и служб кибербезопасности: установить его можно за час. При наличии уже внедренных СЗИ и подготовленной инфраструктуры включение и настройка сбора киберинцидентов с одного источника требует нескольких кликов, а релевантные результаты специалист по ИБ получает уже в первые сутки работы с системой.
