14 февраля 2023
Введение
MaxPatrol VM Getting Started
Содержание статьи
О Positive Technologies
Компания Positive Technologies работает на рынке более 20-ти лет и является одним из ведущих разработчиков решений для информационной безопасности.
В среднем за год эксперты компании выявляют сотни уязвимостей нулевого дня в IT-системах различных классов и типов, в том числе в продуктах Cisco, Citrix, IBM, Intel, Microsoft, VMware и т.д. Сведения обо всех без исключения найденных уязвимостях компания предоставляет производителям ПО в рамках политики ответственного разглашения (responsible disclosure) и не публикует до тех пор, пока вендоры не выпустят соответствующее обновление.
На данный момент у компании присутствует несколько сканеров безопасности, но флагманом является MaxPatrol VM.
В среднем за год эксперты компании выявляют сотни уязвимостей нулевого дня в IT-системах различных классов и типов, в том числе в продуктах Cisco, Citrix, IBM, Intel, Microsoft, VMware и т.д. Сведения обо всех без исключения найденных уязвимостях компания предоставляет производителям ПО в рамках политики ответственного разглашения (responsible disclosure) и не публикует до тех пор, пока вендоры не выпустят соответствующее обновление.
На данный момент у компании присутствует несколько сканеров безопасности, но флагманом является MaxPatrol VM.
Почему VM?
MaxPatrol VM позволяет:
Данный набор преимуществ позволяет выстроить полноценный процесс по контролю и устранению уязвимостей во всей IT-инфраструктуре.
- идентифицировать активы по большому количеству параметров;
- строить актуальную модель IT-инфраструктуры в реальном времени;
- классифицировать активы по степени значимости;
- обнаруживать новые уязвимости без повторного пересканирования;
- организовать единую площадку с IT для проактивного подхода к устранению уязвимостей;
- перенести договоренности с IT по патч-менеджменту;
- обнаруживать новые уязвимости на активах без сканирования.
Данный набор преимуществ позволяет выстроить полноценный процесс по контролю и устранению уязвимостей во всей IT-инфраструктуре.
Архитектура VM
MaxPatrol VM выстроен на единой платформе с MaxPatrol SIEM — MaxPatrol 10 , и имеет возможность установки на ОС Windows и Debian.
Система состоит из следующих компонентов:
MaxPatrol 10 Core
Core является основным компонентом системы, ее управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях, выполняет следующие функции:
MaxPatrol 10 Agent
Agent сканирует активы системы в режимах “черного” и “белого” ящика. Агенты позволяют обнаруживать узлы и их открытые сетевые сервисы, а также проводить специализированные проверки в режиме теста на проникновение.
В режиме активного сканирования собирает следующую информацию об активах: название, версию и производителя операционной системы, установленные обновления ОС, список установленного ПО, параметры ОС и ПО, учетные записи пользователей и их привилегии, данные об аппаратном обеспечении, запущенных сетевых сервисах и службах ОС, параметрах сети и средств защиты.
Agent обеспечивает передачу в компонент MP 10 Core. Собранные данные используются компонентом MP 10 Core для расчета уязвимости активов.
Knowledge Base
KB — это единая база знаний для продуктов Positive Technologies. Она содержит сведения об уязвимостях и способах устранения, бюллетенях безопасности.
PT Management and Configuration
MC обеспечивает:
PT Update and Configuration Service
Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol VM. PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.
Для доставки компонентам новых версий используется ПО SaltStack: модуль Salt
Master находится на сервере PT UCS, модуль Salt Minion — на серверах компонентов
MaxPatrol VM. PT UCS получает новые версии компонентов с глобального сервера
обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.
Система состоит из следующих компонентов:
MaxPatrol 10 Core
Core является основным компонентом системы, ее управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях, выполняет следующие функции:
- централизованное хранение конфигурации активов;
- выстраивание топологии сети;
- централизованное управление всеми компонентами системы;
- обеспечение взаимодействия подразделений организации при расследовании инцидентов;
- автоматизация процесса управления уязвимостями;
- поддержка веб-интерфейса системы.
MaxPatrol 10 Agent
Agent сканирует активы системы в режимах “черного” и “белого” ящика. Агенты позволяют обнаруживать узлы и их открытые сетевые сервисы, а также проводить специализированные проверки в режиме теста на проникновение.
В режиме активного сканирования собирает следующую информацию об активах: название, версию и производителя операционной системы, установленные обновления ОС, список установленного ПО, параметры ОС и ПО, учетные записи пользователей и их привилегии, данные об аппаратном обеспечении, запущенных сетевых сервисах и службах ОС, параметрах сети и средств защиты.
Agent обеспечивает передачу в компонент MP 10 Core. Собранные данные используются компонентом MP 10 Core для расчета уязвимости активов.
Knowledge Base
KB — это единая база знаний для продуктов Positive Technologies. Она содержит сведения об уязвимостях и способах устранения, бюллетенях безопасности.
PT Management and Configuration
MC обеспечивает:
- сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
- управление пользователями системы (создание учетных записей, назначение прав, блокирование и активацию учетных записей);
- журналирование действий пользователей.
PT Update and Configuration Service
Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol VM. PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.
Для доставки компонентам новых версий используется ПО SaltStack: модуль Salt
Master находится на сервере PT UCS, модуль Salt Minion — на серверах компонентов
MaxPatrol VM. PT UCS получает новые версии компонентов с глобального сервера
обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.
Лицензирование
В MaxPatrol VM присутствуют два типа лицензий:
Базовая лицензия определяет максимальное количество узлов, покрываемое VM. Узлами считаются любые устройства, имеющие IP адрес (серверы, компьютеры, сетевые принтеры, коммутационное оборудование, виртуальные машины любого уровня вложенности).
Инфраструктурные лицензии включают в себя лицензию на сам компонент MaxPatrol Server и лицензии на компоненты Agent.
- Базовая.
- Инфраструктурная.
Базовая лицензия определяет максимальное количество узлов, покрываемое VM. Узлами считаются любые устройства, имеющие IP адрес (серверы, компьютеры, сетевые принтеры, коммутационное оборудование, виртуальные машины любого уровня вложенности).
Инфраструктурные лицензии включают в себя лицензию на сам компонент MaxPatrol Server и лицензии на компоненты Agent.
На данном примере мы видим комбинацию на 3000 узлов и 3 агента сканирования.
Сертификация
На момент написания цикла статей (q1 2023) MaxPatrol VM как отдельный обособленный продукт не имеет сертификата ФСТЭК. На данный момент VM проходит процесс сертификации и скорее всего сертификат будет в конце 2023 года.
У VM есть сертификат ФСТЭК, если VM идет в составе PT SIEM. Это актуально для связки SIEM 24.1 + VM 1.0, но в ближайшее время сертификат получит связка SIEM 25 + VM 1.5
Автор: Роман Журавлёв, инженер TS Solution
У VM есть сертификат ФСТЭК, если VM идет в составе PT SIEM. Это актуально для связки SIEM 24.1 + VM 1.0, но в ближайшее время сертификат получит связка SIEM 25 + VM 1.5
Автор: Роман Журавлёв, инженер TS Solution
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
