⏰ MaxPatrol SIEM: время на вашей стороне В 2025 году команда нашего флагманского продукта сосредоточилась на повышении стабильности и удобства работы. Главные результаты — рост производительности на 20%, прорывной скачок в детектировании киберугроз и повышение эффективности ML-модуля MaxPatrol BAD. Делимся подробностями 🧐 1⃣ Экспертиза Сильная сторона MaxPatrol SIEM — детектирование актуальных угроз. Это достигается ростом как количества, так и качества правил от PT ESC. • С 2022 по 2025 год число правил корреляции увеличилось в 3,5 раза — с 483 до 1687. • По публичным данным, MaxPatrol SIEM лидирует в мире по количеству «коробочных» правил корреляции. • Изменился и сам подход: больше контента в карточке события, выше качество детектов. Покрытие MITRE ATT&CK продолжает расти. Сегодня MaxPatrol SIEM детектирует 100% популярных инструментов APT-групп и хактивистов. Это стало возможным благодаря получению актуальной информации с проектов от команд Incident Response (PT ESC) и Red Team (PT SWARM). 2⃣ Производительность Большое число экспертных правил требует серьезных ресурсов. Чтобы не увеличивать аппаратные требования, мы оптимизировали взаимодействие компонентов (коррелятора, нормализатора, подсистемы обогащения и др.). В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3 (8.5) и 27.4 (8.6) нагрузка на CPU снизилась на 20%. Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность продукта при пульсации нагрузки, что было важно для многих клиентов. 3⃣ Эффективность ML-модуля MaxPatrol BAD Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD также может выступать вторым эшелоном защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. «Количество и сложность экспертных правил в MaxPatrol SIEM продолжают расти, при этом продукт работает стабильнее при тех же аппаратных характеристиках. История развития MaxPatrol SIEM привела к тому, что нам необходимо изменить множество процессов в условиях архитектурной перестройки. То, что звучит просто на словах, по факту — результат колоссальной работы всей команды. И это только начало. Например, за год мы снизили в 4 раза количество открытых дефектов. При этом мы остаемся на острие кибератак и повышаем возможности продукта по их детектированию, в этом нам помогает ML-модуль MaxPatrol BAD. Также мы ведем работу по созданию AI-помощника, который сможет писать правила нормализации (функция XPertise). Мы прикладываем все усилия, чтобы сделать лучшую SIEM-систему на рынке, и в первую очередь мы благодарны клиентам, которые делятся с нами обратной связью», — рассказал Денис Лобанов, руководитель продукта MaxPatrol SIEM в Positive Technologies. 4⃣ Удобство и экономия времени Все нововведения упростили работу аналитиков и ускорили реакцию на инциденты: для расследования теперь достаточно информации в карточке события. Новые экспертные правила поставляются в MaxPatrol SIEM раз в две недели, а по трендовым уязвимостям — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц. «Продукту требуется минимум времени (до 10 минут), чтобы уведомить аналитика SOC о подозрительной активности. При условии, что аналитик вовремя среагирует на сработку в продукте, он может за считаные минуты заблокировать действия хакера и остановить кибератаку», — рассказал Кирилл Кирьянов, руководитель экспертизы MaxPatrol SIEM в Positive Technologies. Узнать подробности о том, как обновился MaxPatrol SIEM, вы можете в материале на нашем сайте: https://vk.cc/cPYo25 #MaxPatrolSEIM