На гребне - Positive Technologies · ptsecurity.com На гребне : новые...
Transcript of На гребне - Positive Technologies · ptsecurity.com На гребне : новые...
![Page 1: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/1.jpg)
ptsecurity.com
На гребне ИБ: новые возможности MaxPatrol SIEM
Михаил Домалевский,
менеджер по продвижению продуктов
![Page 2: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/2.jpg)
Предыстория создания MaxPatrol SIEM
![Page 3: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/3.jpg)
MaxPatrol SIEM: единая платформа безопасности
Network Compliance &
Control
Threat
Modeling
Host Compliance &
Control
Network Storage &
Forensic
Vulnerability
Management
Записи вебинаров о
MaxPatrol SIEM:
• MaxPatrol SIEM 2.0 — новая точка отсчета! - ptsecurity.com/ru-
ru/research/webinar/75600/
• Внедрение и эксплуатация MaxPatrolSIEM: от теории к практике –ptsecurity.com/ru-ru/research/webinar/117103/
![Page 4: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/4.jpg)
What’s new?
![Page 5: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/5.jpg)
Новое в MaxPatrol SIEM
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование
на инциденты
![Page 6: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/6.jpg)
MaxPatrol SIEMинвентаризация IT-инфраструктуры
![Page 7: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/7.jpg)
MaxPatrol SIEM: новый алгоритм идентификации активов
Проактивное
обнаружение
Реагирование на
инциденты
Как это вижу я
Инвентаризация
инфраструктуры
Точная модель инфраструктуры
Привязка событий к активам
Идентификация активов даже после
смены:
• IP-адреса,
• MAC-адреса,
• Hostname и др.
Как это делает MaxPatrol SIEM
![Page 8: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/8.jpg)
MaxPatrol SIEM: поиск активов по любым правилам
Окей, МаксПатрол
Проактивное
обнаружение
Инвентаризация
инфраструктуры
Реагирование на
инциденты
[email protected] = ‘CVE-2017-0145’
Host[@ip in 192.168.1.0/24 and not softs[name like ‘%YourAntivirus%’]]
WHERE
WHERE
![Page 9: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/9.jpg)
MaxPatrol SIEMпроактивное обнаружение
![Page 10: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/10.jpg)
MaxPatrol SIEM: архитектура системы
Модуль сбора и анализа
сетевого трафика
Рабочая станция
с endpoint-агентом
![Page 11: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/11.jpg)
MaxPatrol SIEM: сбор и анализ сетевого трафика
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Network Layer
Transport Layer
Session Layer
Presentation Layer
Application Layer
Physical Layer
Datalink Layer
Обнаружение
новых активов
Выявление открытых
портов и запущенных
сервисов
Наполнение
конфигурации активов
Комплексный анализ
сетевого трафика
Network
Sensor
![Page 12: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/12.jpg)
MaxPatrol SIEM: анализ данных с конечных точек
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Файловые
события
Endpoint Monitor
Загрузка
библиотек
Запуск
процессов
Изменения
реестраСетевые
соединенияПользователь-
ская активность
Выявление
потенциально
опасных действий
Обнаружение атак
на ранних этапах
Обнаружение
активности
вредоносного ПО
![Page 13: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/13.jpg)
MaxPatrol SIEM: расчет вариантов маршрутов атак
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Анализ доступности сетевых
адресов, протоколов и портов
Проверка правильности настройки
межсетевых экранов и таблиц
маршрутизации
Повышение оперативности
внесения изменений в правила
доступа и настройки
оборудования
Проактивное
обнаружение
![Page 14: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/14.jpg)
MaxPatrol SIEM: передача экспертизы в продукт
Positive Technologies
Knowledge Base (PT KB)
• Уязвимости с привязкой к ПО и сигнатуры
• Правила нормализации и корреляции, справочники
• Данные об ОС, ПО, сетевом оборудовании
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
![Page 15: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/15.jpg)
MaxPatrol SIEMреагирование на инциденты
![Page 16: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/16.jpg)
MaxPatrol SIEM: визуализация и отчетность
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Настраиваемые дашборды и
пользовательские виджеты
Детализация информации с
дашбордов «в один клик»
Автоматическое создание отчетов
Отправка отчетов по расписанию
![Page 17: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/17.jpg)
Kill
ch
ain
pro
gres
s
Time
MaxPatrol SIEM: корреляции во времени
* Assumption: 100% Time/Events visibility
!!!
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Проактивное
обнаружение
Intensity
Severity
![Page 18: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/18.jpg)
MaxPatrol SIEM: экспорт/импорт данных во внешние системы
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Проактивное
обнаружение
MaxPatrol SIEM
ГосСОПКА Telegram-bot
Интеграция на новом публичном уровне
Корпоративный
портал
Самописные
приложения
+ Быстрый переход с устаревших систем выявления инцидентов ИБ
![Page 19: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/19.jpg)
Демонстрация
ptsecurity.ru
![Page 20: На гребне - Positive Technologies · ptsecurity.com На гребне : новые возможности MaxPatrol SIEM Михаил >омалевский, менеджер](https://reader036.fdocument.pub/reader036/viewer/2022062919/5ee0745ead6a402d666ba25a/html5/thumbnails/20.jpg)
Новое в MaxPatrol SIEM
Инвентаризация ИТ-инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
• новый алгоритм идентификации активов
• поиск активов по любым правилам
• модуль Network Sensor
• модуль Endpoint Monitor
• расчет вариантов маршрутов атак
• Positive Technologies Knowledge Base
• визуализация и отчетность
• корреляции во времени
• экспорт данных во внешние системы