03/09/25
Positive Technologies представила обновленную версию продукта для защиты конечных устройств от сложных и целевых атак — MaxPatrol EDR 8.1. Теперь аналитики центров мониторинга и реагирования (SOC) могут в три раза быстрее выполнять часть рабочих задач благодаря новому интерфейсу, дополнительным возможностям для цифровой криминалистики и проактивного поиска угроз. Кроме того, новый механизм отправки событий по протоколу syslog расширяет интеграцию продукта со сторонними системами.
В MaxPatrol EDR 8.1 полностью переработан интерфейс для ручного реагирования на инциденты. Вместо набора разрозненных инструментов у пользователя теперь есть единое окно для работы с ними. Объединение необходимых данных и функций в одном месте сокращает время реагирования, а поиск киберугроз и расследование инцидентов становятся удобнее. Так, встроенный браузер файлов и диспетчер процессов позволяют получать полную картину происходящего на конечном устройстве без использования сторонних утилит и переключения между несколькими источниками. Кроме того, в два раза был ускорен переход в веб-интерфейс других модулей.
«MaxPatrol EDR — экспертный продукт, который мы продолжаем усиливать и развивать в разных направлениях. Для нас важно сохранять фокус на практической пользе, гибкости и бесшовной адаптации решения к инфраструктуре каждого клиента, поэтому мы прислушиваемся к их опыту и запросам. Так, в новой версии мы полностью переосмыслили интерфейс — решение повседневных задач стало более удобным и эффективным. Мы продолжим улучшать пользовательский опыт, чтобы команды SOC еще успешнее боролись с угрозами», — отмечает Алена Караваева, руководитель продукта MaxPatrol EDR, Positive Technologies.
Теперь пользователи MaxPatrol EDR могут отправлять файлы на конечные устройства. Аналитики будут доставлять скрипты для тонкой настройки систем, конфигурации для восстановления работоспособности или обновления для устранения конкретной уязвимости. Новая функция позволяет оперативно перенастраивать рабочие станции прямо в ходе расследования инцидента без использования сторонних инструментов.
Ранее взаимодействие MaxPatrol EDR со средствами защиты информации от других вендоров было ограничено — клиентам приходилось тратить собственные ресурсы на разработку коннекторов. Теперь для бесшовной интеграции продукта в инфраструктуру заказчиков был реализован новый механизм отправки данных на syslog-сервер. Обновленная версия поддерживает несколько протоколов и форматов передачи событий безопасности, которые, по внутренним данным Positive Technologies, применяются более чем в 250 сторонних решениях. Таким образом, пользователи могут отправлять собранные EDR-платформой данные с конечных точек в системы SIEM[1], SOAR[2], IRP[3] и другие для последующей обработки и анализа.
MaxPatrol EDR предоставляет гибкую настройку правил безопасности для разных групп агентов. В версии 8.1 эта возможность расширена: правила применяются автоматически в зависимости от местоположения устройства. При смене сети (при перемещении из офиса в командировку или домой) система сама определяет текущее окружение и активирует нужные параметры: например, строгие — для ненадежных сетей, стандартные — для корпоративных. От специалистов требуется только заранее настроить соответствие между сетями и группами политик. Такой подход повышает уровень защиты и избавляет команду ИБ от необходимости ручного вмешательства.
MaxPatrol EDR продолжает снижать нагрузку на конечные устройства: текущая версия стала на 6,6% оптимальнее предыдущей и на 24% по сравнению с началом года. Кроме того, продукт развивается в соответствии с подходом к результативной работе СЗИ и трендами рынка, готовясь к развертыванию в популярных средах виртуализации. В планах продолжить работу над усилением функции цифровой криминалистики, улучшением пользовательского опыта и повышением отказоустойчивости.
