Команда MaxPatrol SIEM продолжает развивать систему и повышать ее результативность 🤩 Главное нововведение в экспертизе продукта — теперь новый источник в системе можно подключить в два раза быстрее. Для этого были разработаны универсальные правила обнаружения атак для новых источников. Это поможет компаниям, использующим систему, получать результат еще быстрее. «На поддержку нового источника в MaxPatrol SIEM обычно уходит около месяца: специалисты по ИБ разворачивают стенд системы, исследуют узел, получают с него события, пишут для них правила нормализации, корреляции и обогащения. Теперь этот процесс ускорился в два раза, так как больше нет необходимости создавать правила корреляции для нераспространенного, но нужного компании ПО. Достаточно подключить источник к MaxPatrol SIEM и, следуя рекомендациям экспертов Positive Technologies, написать правила нормализации, к которым добавится экспертиза „из коробки“», — отметил Сергей Щербаков, старший специалист группы обнаружения продвинутых атак, Positive Technologies. 🤖 Второе значительное изменение в продукте — новый пакет экспертизы для обработки событий ИБ, полученных от ML-модуля поведенческого анализа MaxPatrol BAD. Он применяется для определения уровня риска аномального поведения пользователей или сущностей в ИТ-инфраструктуре. Теперь при подключенном модуле система помогает оператору SOC приоритизировать работу с наиболее значимыми инцидентами, а также обнаруживать узлы, которые с высокой вероятностью подвержены вредоносной активности. Кроме того, система автоматически добавляет события с высокой оценкой риска в черный список, после чего они не могут быть случайно отнесены к ложным срабатываниям. 💼 Также были обновлены и добавлены новые пакеты экспертизы, которые позволили расширить возможности системы по детектированию активности вредоносного ПО, атак на Unix-инфраструктуру (в том числе и в операционной системе FreeBSD) и подозрительной сетевой активности. Подробности — в материале на нашем сайте: https://vk.cc/cNavFf #MaxPatrolSIEM @Positive_Technologies