87 ML-моделей, 25 000 событий в секунду и детект Kerberoasting Positive Technologies выпустила MaxPatrol SIEM 27.6
NewsMakerПредставлена новая версия системы мониторинга событий ИБ.
Positive Technologies выпустила версию 27.6 системы мониторинга событий информационной безопасности MaxPatrol SIEM. В обновлении добавили новые инструменты для работы с событиями, доработали AI/ML-модуль MaxPatrol BAD и расширили набор функций для администраторов и аналитиков SOC.
После обновления сотрудники SOC могут группировать данные по нескольким параметрам прямо в интерфейсе MaxPatrol SIEM без перехода в сторонние инструменты. Система поддерживает одновременную группировку, например по времени, адресу и типу события, а порядок выбранных параметров задает иерархию и сохраняется при экспорте. Сгруппированные данные отображаются в виде древовидной структуры.
В версии 27.6 также появилась функция кластеризации однотипных событий с помощью технологий машинного обучения. Система объединяет похожие записи в кластеры и автоматически формирует для них регулярные выражения. Такой режим можно настраивать через интерфейс MaxPatrol SIEM или с помощью PDQL-запроса.
Разработчик сообщил, что производительность модуля MaxPatrol BAD почти удвоилась. Поток событий, который может обрабатывать анализатор поведения, вырос с 15 000 до 25 000 событий в секунду. В модуль добавили 15 новых моделей машинного обучения. MaxPatrol BAD теперь выявляет попытки несанкционированного доступа к базам данных, включая ClickHouse и PostgreSQL, а также признаки атак AS-REP Roasting и Kerberoasting. Кроме того, система получила автоматическое удаление старых данных при переполнении SSD, отправку данных на syslog-сервер и регистрацию подозрительной активности процессов в MaxPatrol SIEM в виде исходных событий, пригодных для нормализации и использования в правилах корреляции.
Positive Technologies выпустила версию 27.6 системы мониторинга событий информационной безопасности MaxPatrol SIEM. В обновлении добавили новые инструменты для работы с событиями, доработали AI/ML-модуль MaxPatrol BAD и расширили набор функций для администраторов и аналитиков SOC.
После обновления сотрудники SOC могут группировать данные по нескольким параметрам прямо в интерфейсе MaxPatrol SIEM без перехода в сторонние инструменты. Система поддерживает одновременную группировку, например по времени, адресу и типу события, а порядок выбранных параметров задает иерархию и сохраняется при экспорте. Сгруппированные данные отображаются в виде древовидной структуры.
В версии 27.6 также появилась функция кластеризации однотипных событий с помощью технологий машинного обучения. Система объединяет похожие записи в кластеры и автоматически формирует для них регулярные выражения. Такой режим можно настраивать через интерфейс MaxPatrol SIEM или с помощью PDQL-запроса.
Разработчик сообщил, что производительность модуля MaxPatrol BAD почти удвоилась. Поток событий, который может обрабатывать анализатор поведения, вырос с 15 000 до 25 000 событий в секунду. В модуль добавили 15 новых моделей машинного обучения. MaxPatrol BAD теперь выявляет попытки несанкционированного доступа к базам данных, включая ClickHouse и PostgreSQL, а также признаки атак AS-REP Roasting и Kerberoasting. Кроме того, система получила автоматическое удаление старых данных при переполнении SSD, отправку данных на syslog-сервер и регистрацию подозрительной активности процессов в MaxPatrol SIEM в виде исходных событий, пригодных для нормализации и использования в правилах корреляции.