Positive Technologies помогает аналитикам SOC оптимизировать рутинные задачи с применением средств автоматизации. Теперь AI/ML-модуль MaxPatrol BAD, интегрированный с системой мониторинга событий ИБ MaxPatrol SIEM, предоставляет визуальную информацию (дашборды) о поведении процессов, активов, пользователей, а также описывает контекст инцидента, объясняя последовательность сработки, что ускоряет выявление уникальных атак и расследование киберинцидентов специалистами по ИБ.
Возможности MaxPatrol BAD были значительно усовершенствованы в последней версии MaxPatrol SIEM — 8.6. Так, AI/ML модуль сейчас поставляет информацию о цепочках процессов, приведших к инцидентам ИБ. А системный дашборд, содержащий информацию о процессах и цепочках процессов, учетных записях, корреляционных событиях с наивысшей оценкой риска позволяет повысить скорость старта расследования инцидентов и расширяет понимание контекста события ИБ.
AI/ML-модуль в первую очередь сосредотачивает внимание аналитика SOC на наиболее подозрительных событиях ИБ, сокращая время их нахождения вне фокуса расследования. Так, согласно внутренним тестам с последующим расследованием с привлечением операторов SOC Positive Technologies, на потоке событий с атакуемой инфраструктуры 90% алертов от MaxPatrol SIEM были отранжированы MaxPatrol BAD как реальные атаки.
MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность AI/ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур. Одна из российских компаний, использующих MaxPatrol BAD, смогла с помощью модуля оперативно найти источник подозрительной активности, которая была связана с запуском нетипичных для организации скриптов. Другая компания в ходе киберучений использовала MaxPatrol BAD для обнаружения нелегитимных действий в инфраструктуре, что помогло SOC предотвратить реализацию недопустимых событий.
Обновленная версия MaxPatrol BAD — это результат поступательной работы, которая началась в 2023 году, когда мы впервые представили AI/ML-технологию в MaxPatrol SIEM, и продолжается по сей день. В модуле соединились экспертиза специалистов Positive Technologies и data-driven подход, при котором решения принимаются на основе анализа данных. Сегодня MaxPatrol BAD можно смело назвать одним из самых зрелых AI/ML-решений на российском рынке, позволяющим реализовать адаптивную защиту инфраструктур организаций. В MaxPatrol SIEM 8.6 модуль стал еще функциональнее и, что не менее важно, удобнее для пользователя. Кроме того, у MaxPatrol BAD появилась возможность горизонтального масштабирования, что позволяет использовать его в распределенных инфраструктурах.
Артем Проничев
Руководитель по ML в MaxPatrol SIEM, Positive Technologies
В 2024 году MaxPatrol SIEM вошла в реестр российского ПО в качестве первой системы с искусственным интеллектом среди продуктов своего класса. AI/ML-модуль в ее составе сводит к минимуму число ложных срабатываний.
Развертывание и запуск MaxPatrol BAD занимают до 1 часа — при наличии выделенной инфраструктуры и организованного сбора событий в MaxPatrol SIEM. Сам же модуль не требует регулярных обновлений или постоянной ручной донастройки. Автономные и адаптивные механизмы обучения начинают работать сразу после инсталляции, а первые релевантные результаты можно получить с первой недели использования.
Чтобы протестировать возможности AI/ML-модуля в составе MaxPatrol SIEM, записывайтесь на тест-драйв.
