PT Network Attack Discovery 12.1 может в 3 раза быстрее индексировать трафик
23/09/24
Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD). Главное в релизе 12.1 — поддержка актуальной версии хранилища данных Elasticsearch (8.13) и улучшения для работы операторов и администраторов PT NAD. Кроме того, в версии 12.1 появилась темная тема, которая стала ответом на запросы пользователей. Развертывание и базовая настройка PT NAD «из коробки» занимает менее 30 минут.
Обновленный PT NAD поддерживает хранилище Elasticsearch 8.13. Его применение обеспечивает устойчивость к пиковым нагрузкам, снижает аппаратные требования, а также ускоряет обработку запросов к базе с метаданными трафика. Результаты внутренних тестов Positive Technologies показывают, что при использовании Elasticsearch 8.13 нагрузка на процессор снижается в 2 раза, а для хранения метаданных требуется в 2 раза меньше дискового места. Кроме того, переход на новый Elasticsearch увеличивает максимальную скорость индексирования в 3 раза.
Новая версия PT NAD оптимально подходит крупным компаниям, которые работают с большими объемами поступающего трафика. В будущем уменьшение требований к «железу» позволит сократить затраты на покупку оборудования: одна инсталляция сможет обрабатывает больше трафика, при этом стоимость ее развертывания останется прежней.
«Глубокий разбор трафика, хранение громадного объема данных, создание иерархически распределенных инсталляций, а также добавление новых аналитических модулей и других функций, облегчающих работу специалистов, — все это требуется поддерживать аппаратными ресурсами: процессором, памятью, дисками. В каждом релизе мы уделяем большое внимание оптимизации производительности, и это позволяет нам расширять возможности PT NAD без роста требований к «железу», — комментирует Дмитрий Ефанов, руководитель продукта PT NAD в Positive Technologies.
Значительные изменения претерпел и интерфейс продукта. По части администрирования системы ряд конфигураций перемещены из консоли в веб-интерфейс. В частности, в интерфейсе теперь можно управлять SSL-сертификатами — добавлять доверенные корневые сертификаты и изменять сертификат веб-сервера, также добавлены функции проверки корректности настроек интеграции с внешними сервисами.
Ряд изменений интерфейса ориентированы на операторов PT NAD, занимающихся выявлением и расследованием атак. В новой версии значительно переработана карточка сессии, в которой теперь отображается сводная информация обо всех зафиксированных индикаторах компрометации. Таким образом, оператор сможет оперативно отреагировать на инцидент и не тратить время на поиск дополнительной информации — все отражено в карточке события. Помимо этого, оптимизирована производительность ленты активности; улучшена работа с исключениями для атак, выявляемых экспертными модулями; создаваемые виджеты теперь доступны всем пользователям; появилась возможность настраивать количество отображаемых в виджетах строк. В новой версии также есть наглядное изображение связей между узлами, задействованными в атаках типа NTLM Relay. В планах команды визуализировать и другие сложные атаки.