En 2012, comenzamos a fabricar un nuevo gran producto para reemplazar MaxPatrol 8 . Dentro de la empresa, recibió el sobrenombre de MaxPatrol X. En ese momento, comprendimos que era posible hacer un producto cualitativamente nuevo solo cambiando por completo el enfoque para resolver el problema. El enfoque se asoció con las ideas de una recopilación y análisis a gran escala de información sobre todo lo que sucede en la infraestructura de TI (análisis de la configuración del nodo, configuración de la red, análisis de lo que está sucediendo en la red, es decir, análisis del tráfico, y en el nodo, es decir, análisis de registros). De la necesidad de recopilar y analizar registros, de hecho, nació SIEM. Para el quinto aniversario de MaxPatrol SIEM , que ingresó al mercado en 2015, decidimos contar una historia de desarrollo.
En el transcurso de uno de los proyectos en 2013, comenzaron a surgir los principios de la arquitectura de procesamiento de datos que necesitábamos. Recolección, normalización, correlación, almacenamiento. El enfoque MITRE CEE (sujeto-acción-objeto-estado) fue elegido como base para la normalización , que en ese momento parecía muy correcto e interesante. Pero el futuro ha demostrado que los hechos reales no siempre encajan perfectamente en el lecho de Procusto del enfoque académico de la CEE.
Primeros pasos y primeros errores
Habrá muchos títulos incomprensibles en este párrafo, pero decidimos contarte toda la verdad y, por lo tanto, tener paciencia :)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .