Support
Новости
Aug
16
Новые возможности MaxPatrol SIEM
Автор Alexander Stepanov на 16 August 2024 00:28

Новые возможности MaxPatrol SIEM

Новые возможности MaxPatrol SIEM

Не так давно, в конце июня, мы представили новую версию MaxPatrol SIEM — версию 8.2. Хотим коротко напомнить об улучшениях и новых возможностях, добавленных в прошлом релизе:

  • Новый мониторинг источников. Теперь он настраивается с помощью политик и позволяет отслеживать только самые важные источники. Подробнее — на справочном портале.
  • ML-модуль BAD. Определить, какое из событий представляет угрозу безопасности, — сложная задача. Чтобы помочь специалистам по ИБ, в MaxPatrol SIEM используются модели машинного обучения (компонент BAD). Теперь корреляционные события, обогащенные оценкой риска от BAD, можно искать и группировать с помощью PDQL-запросов. Кроме того, теперь компонент BAD может регистрировать корреляционные события, на основе которых можно писать собственные правила корреляции.
  • Кросс-кластерный поиск для MaxPatrol SIEM Events Storage с хранилищем событий LogSpace. Появилась возможность использовать кросс-кластерный поиск событий для компонентов MaxPatrol SIEM Events Storage с хранилищем LogSpace. Подробности — в разделах «Об установке конвейеров обработки событий» Руководства по внедрению и «Настройка защищенного подключения для кросс-кластерного поиска» Руководства администратора.
  • Поддержка гибридного хранилища для LogSpace. Теперь можно настроить хранение данных в LogSpace с использованием разных типов хранилища (SSD и HDD) для данных в горячей и теплой стадиях. Запросы к хранилищам выполняются без необходимости получать дополнительный доступ.

Подробнее о версии 8.2 читайте на справочном портале.

Теперь к новостям. Рассказываем, что добавилось в MaxPatrol SIEM 8.3 (27.1):

  • Расширенный дашборд «Мониторинг обработки событий». Добавлены виджеты «События, поступившие в обработку» и «Отброшенные события».
  • Улучшения в работе с журналами из Apache Kafka. Добавлены более широкие возможности по объединению событий и настройке подключений. Повышена производительность модуля сбора.
  • Более удобный механизм работы с карточкой события. Оператор MaxPatrol SIEM может выбирать в карточке фильтр, позволяющий посмотреть:
    • корреляционные события с такой же учетной записью или таким же адресом входа, что и в выбранном событии;
    • события, связанные со входом в приложение от имени той же учетной записи;
    • события с таким же именем процесса на этом же узле;
    • события с IP-адресом, который является назначенным (например, при подключении по VPN) или внешним по отношению к IT-инфраструктуре организации.

Подробнее — на справочном портале.

Также напоминаем, что в соответствии с политикой поддержки MaxPatrol SIEM с сегодняшнего дня поддержка для версии 8.1 (26.2) ограничена.

Для того чтобы вы могли спланировать обновление MaxPatrol SIEM до актуальной версии, в течение следующих шести месяцев (до 15 февраля 2025 года) техническая поддержка будет помогать в анализе и устранении сбоев в работе MaxPatrol SIEM версии 26.2. Затем будут доступны только рекомендации по обновлению.

 


Подробнее »



Aug
6
Обновлен сертификат ФСТЭК для PT MultiScanner
Автор Vasiliy Zhukovskiy на 06 August 2024 18:36

Обновлен сертификат ФСТЭК для PT MultiScanner

Система многопоточной проверки файловых ресурсов PT MultiScanner 5.8 успешно прошла испытания ФСТЭК России.

Система защиты от вредоносных программ Positive Technologies подтвердила соответствие техническим условиям и требованиям по безопасности информации, утвержденных приказами ФСТЭК России от 2 июня 2020 г. № 76 (по 4-му уровню доверия) и от 20 марта 2012 г. №28, а также требованиям документа «Профиль защиты средств антивирусной защиты типа А четвертого класса защиты. ИТ.САВЗ.А4.ПЗ» от 14.06.2012 г.

Сертификат соответствия № 4380 для PT Multiscanner 5.8 от 18.08.2023 года действителен до 8 апреля 2026 года и позволяет применять систему:

  • в значимых объектах критической информационной инфраструктуры 1 категории (приказ ФСТЭК России от 25.12.2017 г. № 239);
  • в государственных информационных системах 1 класса защищенности в соответствии (приказ ФСТЭК России от 11.02.2013 г. № 17);
  • в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности (приказ ФСТЭК России от 14.03.2014 г. № 31);
  • в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных (приказ ФСТЭК России от 18.02.2013 № 21);
  • в информационных системах общего пользования II класса (приказ ФСБ России, ФСТЭК России от 31.08.2010 № 416/489).

Важная информация: после обновления сертификата он перестает действовать для предыдущих версий, поэтому советуем скорее обновить продукт до версии 5.8.

Посмотреть сертификат соответствия на сайте.

Система многоуровневой защиты от вредоносного ПО PT MultiScanner применяется в областях, где необходимо проверять на вирусы большой входящий поток файлов пользователей — на порталах государственных услуг, в банковский, страховой, телекоммуникационной и других сферах. Она позволяет повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусами в сочетании с другими методами выявления угроз, включая ретроспективный анализ действий вредоносных файлов в системе.


Подробнее »



Jul
31
PT NAD 12.1
Автор Vasiliy Zhukovskiy на 31 July 2024 20:03

PT NAD 12.1

Мы рады сообщить о выходе новой версии PT NAD.

Что нового:

  • Переход на использование Elasticsearch 8.
    Увеличена скорость запросов к базе данных, ускорилась индексация и уменьшился объем пространства на дисках, занимаемого метаданными.

    Внимание! миграция данных между Elasticsearch 5 и Elasticsearch 8 не производится. При обновлении PT NAD 12 до PT NAD 12.1 через инсталлятор будет использоваться Elasticsearch 5. Для использования новой версии Elasticsearch 8 рекомендуется чистая установка PT NAD 12.1.
  • Темная тема.
    Долгая работа со светлым интерфейсом может утомлять. Мы заботимся о своих пользователях и добавили возможность изменять фон. Подойдет поклонникам темных интерфейсов или тем, кто работает с системой по ночам.
  • Управление сертификатами в интерфейсе.
    Теперь добавлять, устанавливать и заменять SSL-сертификаты можно в веб-интерфейсе продукта. Для этого мы добавили раздел «Сертификаты» в меню.
  • Проверка соединений.
    Иногда нужно оперативно проверить корректность параметров и доступность сервера. Для этого мы добавили возможность протестировать соединение с указанными параметрами. Это поможет избежать ошибок при настройке подключений и проверить доступность внешнего сервиса.
  • Улучшение экспертизы
    В этом релизе мы сфокусировались на уменьшении количества срабатываний правил для «Ленты активностей». Это поможет нашим клиентам обнаруживать самые опасные угрозы в сетевом трафике компании:

    • Неизвестный DHCP-сервер. Теперь PT NAD отслеживает неизвестный DHCP-сервер в течение дня после его обнаружения. Ранее период отслеживания не был ограничен.
    • Активность прокси-сервера SOCKS5 внутри организации и соединения с внешними прокси-серверами SOCKS5. Добавили в карточки активности информацию о клиентах, использующих такие сервера, и о серверах, к которым обращались клиенты.
    • Активность ПО для удаленного управления. Мы объединили семь отдельных записей в «Ленте активностей» в одну.
    • Аутентификация по открытым каналам связи. Теперь вместо трех записей в «Ленте активностей» будет одна.

Другие улучшения:

  • Карта сетевых связей в карточке активности «Атака NTLM Relay».
  • Расширение карточки сессии.
  • Сводка IOC в транзакциях протокола.
  • Сворачивание временных шкал на страницах «Сессии» и «Атаки».
  • Исключение схожих атак, связанных с активностью.
  • Оптимизация производительности ленты активностей.

Чтобы получить дистрибутив для обновления PT NAD до версии 12.1, напишите в техническую поддержку.

С полным перечнем обновлений и улучшений можно ознакомиться в справочном центре.


Подробнее »