Контакты
Подписка 2025
Новости
ITSEC 2025
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →

Производительность MaxPatrol SIEM выросла на 20%

01/10/25

PT-Jul-06-2022-11-55-23-82-AM

Команда MaxPatrol SIEM, лидера на российском рынке SIEM, в 2025 году решила сфокусироваться на повышении стабильности системы и удобства работы. Главные результаты — рост производительности на 20%[1], прорывной скачок в качестве детектирования киберугроз и повышение эффективности ML-модуля MaxPatrol BAD.

Сильная сторона MaxPatrol SIEM, о которой говорят пользователи продукта, — детектирование актуальных киберугроз. Достигается оно за счет повышения количества и качества правил, поставляемых экспертным центром безопасности Positive Technologies (PT ESC). С 2022 по 2025 год количество правил корреляции в продукте выросло в 3,5 раза — с 483 до 1687. Согласно информации, которую публикуют игроки рынка SIEM, MaxPatrol SIEM является мировым лидером[2] по количеству правил корреляций, поставляемых «из коробки».

Работа большого числа экспертных правил зачастую требует повышенного потребления вычислительных ресурсов. Чтобы нивелировать этот эффект, команда MaxPatrol SIEM внесла кардинальные изменения в схему взаимодействия компонентов — коррелятора, нормализатора, подсистемы обогащения — между собой. Новые версии конвейера обработки событий эффективнее утилизируют ресурсы на одном и том же потоке за счет оптимизации работы внутренних сервисов и использования новых архитектурных подходов. В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3(8.5) и 27.4 (8.6) снизились требования к центральному процессору (CPU) до 20%.

Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность MaxPatrol SIEM при пульсации нагрузки, что было критически важно для многих клиентов. Оптимизация сглаживания потока и автоматическая адаптивная подстройка потребления аппаратных ресурсов под поток приводят к тому, что MaxPatrol SIEM может обрабатывать большее количество событий в секунду (events per second – EPS) на том же «железе».

«Количество и сложность экспертных правил в MaxPatrol SIEM продолжают расти, при этом продукт работает стабильнее при тех же аппаратных характеристиках, — комментирует Денис Лобанов, руководитель продукта MaxPatrol SIEM в Positive Technologies. — История развития MaxPatrol SIEM привела к тому, что нам необходимо изменить множество процессов в условиях архитектурной перестройки. То, что звучит просто на словах, по факту — результат колоссальной работы всей команды. И это только начало. Например, за год мы снизили в 4 раза количество открытых дефектов[3]. При этом мы остаемся на острие кибератак и повышаем возможности продукта по их детектированию, в этом нам помогает ML-модуль MaxPatrol BAD. Также мы ведем работу по созданию AI-помощника, содержащего функционал по написанию правил нормализации (XPertise). Мы прикладываем все усилия, чтобы сделать лучший SIEM на рынке, и в первую очередь мы благодарны клиентам, которые делятся с нами обратной связью».

Подробнее про экспертизу MaxPatrol SIEM. Помимо роста количества правил корреляций, изменился и сам подход написания экспертизы: контента в карточке события стало больше, а уровень детектирования актуальных киберугроз стал выше. Продолжает увеличиваться покрытие техник из матрицы MITRE ATT&CK. Сейчас MaxPatrol SIEM детектирует 100% популярного хакерского инструментария, который используют APT-группировки и хактивисты[4]. Этого удалось достичь благодаря актуальной информации из проектов, которые проводят команды Incident Response и Red Team Positive Technologies. Эксперты расследуют кибератаки, анализируют новые инструменты злоумышленников. Вся информация находит отражение в MaxPatrol SIEM, который обогащается за счет ежедневной работы экспертного центра безопасности Positive Technologies. Благодаря тому, что PT ESC обнаруживает уязвимости нулевого дня и согласно принципам ответственного разглашения помогает вендорам их устранять, MaxPatrol SIEM детектирует опасные для российских компаний угрозы, которые не могут быстрее Positive Technologies обнаружить другие вендоры. Например, в августе 2025 года эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server. Эксплуатация цепочки обнаруженных недостатков могла привести к полной компрометации серверов видео-конференц-связи. MaxPatrol SIEM обнаруживает эти уязвимости с помощью правил, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows.

Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур.

По итогам всех нововведений повысилось удобство работы с продуктом, а также сократилась скорость реакции на киберинцидент. Сейчас аналитик SOC для расследования может использовать лишь информацию из карточки события в интерфейсе MaxPatrol SIEM, не обращаясь к внешним источникам. Новые экспертные правила поставляются в систему раз в две недели, для трендовых уязвимостей — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц.

«MaxPatrol SIEM видит все перемещения хакера в инфраструктуре: горизонтальное передвижение, разведку, захват домена, запуск шифровальщиков, эксплуатацию уязвимостей, фишинговые рассылки, повышение привилегий — каждый шаг. Продукту требуется минимум времени (до 10 минут), чтобы уведомить аналитика SOC о подозрительной активности, — рассказывает Кирилл Кирьянов, руководитель экспертизы MaxPatrol SIEM в Positive Technologies. — При условии, что аналитик вовремя среагирует на сработку в продукте, он может за считаные минуты заблокировать действия хакера и остановить кибератаку».

Получить всю информацию о MaxPatrol SIEM, а также оставить заявку на пилотный проект можно на странице продукта.

[1] Согласно данным внутренних тестов Positive Technologies, полученным для процессора на компоненте «SIEM-сервер» MaxPatrol SIEM 27.4 (8.6) в сравнении с MaxPatrol SIEM 27.2 (8.4), база данных LogSpace.

2 По оценке Positive Technologies, сделанной на основе публичной информации, размещенной на сайтах вендоров SIEM-систем.

3 Количество открытых дефектов на 30 сентября 2025 года по сравнению с 31 октября 2024 года.

4 По данным Positive Technologies (команда Incident Response).

 
Темы:Пресс-релизPositive TechnologiesОтрасльMAX Patrolкибербезопасность
КИИ
Высоконагруженные ИБ-решения для больших инфраструктур
Материалы конференции Форума ITSEC 2025 →
Статьи по темеСтатьи по теме

  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.
  • Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
    Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
  • Как мониторинг рантайма позволяет снижать риски при использовании контейнеров
    Михаил Бессараб, руководитель продукта PT Container Security в Positive Technologies
    Рост использования контейнеризации в ИТ-продуктах и сервисах сложно опровергнуть, как и гипотезу о важности защиты такой инфраструктуры. Обычно для подтверждения этого приходится опираться на зарубежную статистику, которая, впрочем, не всегда соответствуют отечественной специфике.
  • Щедрость владельцев инфраструктуры не победить! Часть 3
    Денис Гойденко, руководитель PT ESC IR, Positive Technologies
    Киберинциденты – это не всегда про громкие утечки, сложные APT-группировки и технологии будущего. Иногда это про человеческие ошибки, странные управленческие решения и неожиданные повороты, которые могли бы стать отличным сюжетом для комедии, если бы не реальные последствия.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС
Материалы конференции →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных