🧬 Продолжаем рассказ о том, что «под капотом» у MaxPatrol SIEM В этот раз руководитель продукта Иван Прохоров и архитектор MaxPatrol SIEM Роман Сергеев в статье на Хабре расскажут об одном из главных принципов работы системы — активоцентричности. 🤔 Что это значит Все просто: начав создавать продукт, мы сразу решили, что его работа будет выстроена вокруг цифровых активов инфраструктуры клиента, а не вокруг событий ИБ. Потому что событие может представлять разную угрозу в зависимости от цели атаки и контекста, а активы — величина условно постоянная и требующая защиты. Например, представьте, что кто-то сканирует порты вашей организации или пытается взломать учетную запись перебором. Если это происходит извне, ситуация штатная — проблема решается баном блока адресов. Но все резко меняется, если та же самая активность исходит изнутри вашей корпоративной сети. Это уже серьезная угроза, и реагировать на нее нужно иначе. 🛡 Защита активов с учетом контекста Справляться с этой задачей нашему продукту позволяет наличие полной информации об активах, о связях между ними и событиями, пассивный сбор данных об активах на основании событий и трафика, а также интегрированная в продукт база данных Fast Positive Tables. Ее мы создали, потому что сторонние СУБД оказались слишком медленными и ресурсоемкими. Ищите подробности о цифровых активах и о том, как с ними работает MaxPatrol SIEM, в нашем блоге на Хабре: https://vk.cc/czclAM #MaxPatrolSIEM