Цикл статей
«Сканируй, управляй, защищай: MaxPatrol VM под микроскопом»
Статья 6. Интеграция с другими продуктами
Что такое сканеры уязвимости?
MaxPatrol SIEM собирает и анализирует события со всей инфраструктуры. Интеграция с MaxPatrol VM обеспечивает критически важный контекст.
- VM → SIEM: Данные об уязвимостях и активах из VM передаются в SIEM. Когда SIEM обнаруживает подозрительную сетевую активность, направленную на сервер, он может мгновенно проверить по данным VM, есть ли на этом сервере уязвимости, которые могут быть поэксплуатироватны в ходе этой атаки. Это позволяет отличить реальную атаку от простого "шума" и повысить приоритет инцидента.
- SIEM → VM: SIEM может обнаружить в сети новый, ранее неизвестный актив. Эта информация может быть передана в VM для автоматического запуска сканирования этого актива на уязвимости.
Интеграция с MaxPatrol SIEM
PT Sandbox ("песочница") анализирует файлы и ссылки на вредоносное поведение в изолированной среде.
Как это работает: если "песочница" обнаруживает, что вредоносный файл пытается поэксплуатировать конкретную уязвимость (например, CVE-2023-1234), эта информация передается в единую платформу.
Совместное действие: Система может немедленно выполнить запрос к MaxPatrol VM: "Показать все активы в инфраструктуре, на которых присутствует уязвимость CVE-2023-1234". Это позволяет ИБ-специалистам превентивно устранить уязвимость на всех активах, которые находятся под угрозой реальной, уже зафиксированной атаки.
Результат: Приоритезация устранения уязвимостей на основе реальных, а не теоретических угроз.
Как это работает: если "песочница" обнаруживает, что вредоносный файл пытается поэксплуатировать конкретную уязвимость (например, CVE-2023-1234), эта информация передается в единую платформу.
Совместное действие: Система может немедленно выполнить запрос к MaxPatrol VM: "Показать все активы в инфраструктуре, на которых присутствует уязвимость CVE-2023-1234". Это позволяет ИБ-специалистам превентивно устранить уязвимость на всех активах, которые находятся под угрозой реальной, уже зафиксированной атаки.
Результат: Приоритезация устранения уязвимостей на основе реальных, а не теоретических угроз.
Интеграция с PT NAD
PT NAD анализирует сетевой трафик для выявления атак. Он видит, что происходит в сети.
Как это работает: NAD обнаруживает в трафике признаки эксплуатации уязвимости. MaxPatrol VM знает, на каких хостах эта уязвимость действительно присутствует.
Совместное действие: Сопоставление этих двух фактов позволяет с высокой точностью определить успешную компрометацию. Например, если NAD видит атаку на порт 445, а VM подтверждает, что целевой хост уязвим к EternalBlue, это — инцидент высочайшего приоритета. Если же хост не имеет данной уязвимости, это лишь неудачная попытка.
Результат: Снижение количества ложных срабатываний и концентрация на подтвержденных атаках.
Как это работает: NAD обнаруживает в трафике признаки эксплуатации уязвимости. MaxPatrol VM знает, на каких хостах эта уязвимость действительно присутствует.
Совместное действие: Сопоставление этих двух фактов позволяет с высокой точностью определить успешную компрометацию. Например, если NAD видит атаку на порт 445, а VM подтверждает, что целевой хост уязвим к EternalBlue, это — инцидент высочайшего приоритета. Если же хост не имеет данной уязвимости, это лишь неудачная попытка.
Результат: Снижение количества ложных срабатываний и концентрация на подтвержденных атаках.
Интеграция с MaxPatrol EDR
MaxPatrol EDR обеспечивает защиту, обнаружение и реагирование на угрозы непосредственно на конечных точках (серверах и рабочих станциях).
Совместное реагирование. VM обнаруживает критическую уязвимость. EDR видит аномальную активность на этом же хосте. На основе этих объединенных данных система может автоматически запустить сценарий реагирования, например, изолировать хост от сети с помощью агента EDR.
Результат: Построение полного цикла защиты: от выявления уязвимости (VM) до обнаружения ее эксплуатации (EDR) и автоматического реагирования на конечной точке.
- VM → EDR: Информация об уязвимостях на конкретном хосте из VM может использоваться EDR для ужесточения политики мониторинга. Например, если на хосте есть уязвимость в браузере, EDR может более пристально следить за процессами, которые порождает этот браузер.
- EDR → VM: Агент EDR, установленный на хосте, предоставляет самую точную инвентаризационную информацию (установленное ПО, его версии). Эти данные могут использоваться MaxPatrol VM для более точного и быстрого сканирования без необходимости сетевого доступа с аутентификацией.
Совместное реагирование. VM обнаруживает критическую уязвимость. EDR видит аномальную активность на этом же хосте. На основе этих объединенных данных система может автоматически запустить сценарий реагирования, например, изолировать хост от сети с помощью агента EDR.
Результат: Построение полного цикла защиты: от выявления уязвимости (VM) до обнаружения ее эксплуатации (EDR) и автоматического реагирования на конечной точке.
Заключение
Итак, на этом наш обзорный курс по решению курс MaxPatrol VM подошёл к концу.
В его рамках мы с вами успели разобрать:
Не забывайте, что про все новые материалы на портале вы в числе первых можете узнать в наших социальных сетях: ВК и ТГ
Если у вас остались вопросы или необходима помощь с настройкой, поддержкой, консультацией по продукту – пишите нам на sales@tssolution.ru.
В его рамках мы с вами успели разобрать:
- как эффективно развернуть MaxPatrol VM
- как интегрировать его в существующую инфраструктуру
- как настраивать профили сканирования
- а также работать с отчётами и повышать уровень защищённости компании с минимальными затратами ресурсов.
Не забывайте, что про все новые материалы на портале вы в числе первых можете узнать в наших социальных сетях: ВК и ТГ
Если у вас остались вопросы или необходима помощь с настройкой, поддержкой, консультацией по продукту – пишите нам на sales@tssolution.ru.
