MaxPatrol SIEM 27.6: в 2 раза быстрее обнаружение угроз

SIEM, который перестал тормозить расследования. Большинство SIEM-систем ломаются не на атаках. Они ломаются на данных. Слишком много событий. Слишком много вкладок. Слишком много ручной работы.

Именно эту проблему решает обновление MaxPatrol SIEM 27.6 от Positive Technologies. Теперь система делает то, что раньше делал аналитик. И делает быстрее.

Что изменилось на практике

1. Аналитика без переключения между инструментами

Теперь данные можно группировать прямо внутри системы. По времени. По IP. По типу события. Сразу по нескольким параметрам. Результат — не таблица, а структура, которую можно читать.

Данные складываются в древовидную модель, где видно причинно-следственные связи. Это убирает главный источник потерь времени: переключение между вкладками и инструментами.

2. ML-кластеризация вместо ручной рутины

Раньше аналитик искал похожие события вручную. Теперь это делает система. MaxPatrol SIEM автоматически объединяет похожие события в кластеры с помощью ML.

Даже если значения не совпадают полностью, но логически похожи — они окажутся вместе. Для каждого кластера формируются регулярные выражения. Это превращает хаос логов в структурированные шаблоны.

Кластеризацию можно настраивать:

• через интерфейс;
• через PDQL-запросы².

² PDQL (Positive Data Query Language) — язык запросов Positive Technologies для работы с событиями, инцидентами и данными в MaxPatrol SIEM.

3. Поведенческая аналитика стала быстрее почти в 2 раза

Модуль MaxPatrol BAD теперь обрабатывает до 25 000 событий в секунду¹. Это не просто рост цифры.

¹ Производительность увеличена с 15 000 до 25 000 событий в секунду (EPS) для поведенческого анализа.

Это означает:

• меньше пропущенных атак;
• быстрее реакция;
• меньше нагрузки на команду SOC.

Дополнительно появилось 15 новых ML-моделей.

Система теперь лучше выявляет:

• попытки доступа к БД (ClickHouse, PostgreSQL);
• атаки AS-REP Roasting и Kerberoasting.

Эти атаки простые, но опасные. Их сложно поймать сигнатурами, но ML видит поведение, а не только шаблон.

4. Система начинает думать в терминах риска

ML в MaxPatrol BAD теперь используется не только для поиска аномалий. Он помогает оценивать риск более прозрачно. Это сдвиг от “мы что-то нашли” к “насколько это опасно”.

---

Улучшения, которые экономят часы работы

Некоторые изменения не бросаются в глаза, но сильно влияют на скорость работы:

• можно остановить PDQL-запрос до завершения;
• новые вкладки больше не запускают запросы автоматически;
• подсветка полей ускоряет анализ;
• появилась поддержка SAML 2.0 для единого входа;
• отчеты можно сохранять в общую папку (Samba), минуя ограничения почтовых серверов;
• данные в хранилище сжимаются алгоритмом Zstandard;
• можно ограничивать время выполнения задач сбора данных;
• при заведении источников теперь можно вручную указать MIME-тип³ для событий, собираемых через Syslog.

³ MIME (Multipurpose Internet Mail Extensions) — механизм, который указывает системе, в каком формате передаются данные.

Это не просто набор функций. Это снижение трения в ежедневной работе аналитика.

Почему это важно

Каждая минута в расследовании — это либо сдержанная атака, либо ущерб. MaxPatrol SIEM 27.6 убирает лишние действия между событием и решением.

Вывод

Хорошая SIEM-система показывает события. Отличная — показывает смысл.

Вопрос, который стоит задать себе: Сколько времени ваша команда тратит на поиск сигнала среди шума?

И сколько из этого времени можно вернуть?

Обеспечьте безопасность своей компании с помощью экспертов в области кибербезопасности!

Наша команда готова предложить вам надежные решения, способные защитить ваш бизнес от угроз.

Звоните нам по номеру +7 (495) 984-33-83 или отправляйте заявку на почту: shop@spectrasoft.ru

Мы заботимся о вашей безопасности!