Компания Positive Technologies представила обновлённую версию платформы мониторинга и управления информационной безопасностью MaxPatrol 10 (релиз 27.4). Это масштабное обновление, которое привносит не только точечные улучшения, но и полноценные новые продукты, существенно расширяющие функционал платформы. Рассмотрим ключевые нововведения, технические улучшения и важные аспекты перехода на новую версию.
Главные нововведения
1. Positive Technologies Central Management (PTCMS)
Одной из самых значимых новинок стал полноценный новый продукт — PTCMS. Он решает критически важную задачу для распределённых установок платформы, позволяя централизованно управлять экспертизой. Теперь нет необходимости обновлять контент на каждой платформе в отдельности. С помощью PTCMS можно:
Одной из самых значимых новинок стал полноценный новый продукт — PTCMS. Он решает критически важную задачу для распределённых установок платформы, позволяя централизованно управлять экспертизой. Теперь нет необходимости обновлять контент на каждой платформе в отдельности. С помощью PTCMS можно:
- Централизованно распространять пакеты обновлений (наборы для установки)
- Управлять тенантами, просматривать приложения и роли пользователей
- Автоматически отслеживать актуальность и версионность экспертизы
- Контролировать статус валидации и поставки пакетов
Этот продукт требует отдельной лицензии и будет незаменим для крупных компаний с распределённой инфраструктурой.
- Появилась возможность устанавливать и обучать несколько анализаторов в распределённой архитектуре на разных моделях
- Обновилась карточка события: теперь в ней чётко отображается оценка риска, признаки подозрительных процессов и аномальной активности
- Добавлены новые фильтры и два специализированных дашборда: «BAT Threat Detection» и «BAT Health Monitor»
Важно отметить, что модуль BAT теперь лицензируется отдельно
2. Улучшения в модуле машинного обучения BAT
Модуль BAT, предназначенный для вынесения «второго мнения» по инцидентам с помощью ML-моделей, также получил значительное развитие:
Модуль BAT, предназначенный для вынесения «второго мнения» по инцидентам с помощью ML-моделей, также получил значительное развитие:
3. Интеллектуальные подсказки для PDQL-запросов
В интерфейс добавлен механизм интеллектуальных подсказок:
В интерфейс добавлен механизм интеллектуальных подсказок:
- При вводе простого текста система предлагает соответствующие операторы и поля таксономии
- Реализована подсветка синтаксиса, упрощающая поиск ошибок
- Улучшена работа с пунктуацией (скобки, кавычки), что ускоряет и упрощает формирование сложных запросов
Технические улучшения
Релиз 27.4 принёс множество оптимизаций, направленных на повышение производительности и удобства эксплуатации:
- Мониторинг производительности в Grafana: появились новые виджеты для отслеживания количества событий и времени обработки различными службами (агрегатор, нормализатор, энричер). Теперь можно наглядно отслеживать заполнение очередей и оперативно реагировать на превышение лимитов
- Ускорение работы интерфейса: существенно повышена скорость отображения событий на соответствующей вкладке
- Оптимизация потребления ресурсов: снижено (примерно на 20%) потребление оперативной памяти коллектором при пиковых нагрузках
- Улучшенная визуализация инцидентов: в карточках корреляционных событий появились понятные значки и цветовая индикация, позволяющие мгновенно оценить критичность (инцидент, предупреждение, информационное событие).
- Новые возможности сбора событий:
- Для Apache Kafka появился параметр для прямого указания имени топика
- Модули File Importer и File Monitor теперь поддерживают указание форматов (текстовый, JSON, XML) для удобного сбора событий из файлов журналов
- Автоматизация развертывания: появились манифесты для автоматического развертывания не только в конфигурации All-in-One, но и в средне- и высоконагруженных конфигурациях. Упрощено управление ролями компонентов через единый YAML-манифест
- Расширенная поддержка ОС: добавлена поддержка Astra Linux 1.7.7. При этом в следующем релизе 27.5 будет прекращена поддержка Debian 10.
Лицензионный контроль: ужесточение правил
Positive Technologies ужесточила контроль за соблюдением лицензионных ограничений, которые рассчитываются по количеству событий в секунду (EPS).
- Допустимые пороги:
- Превышение в среднем за сутки на 30% от лимита — запускает льготный период
- Превышение за неделю на 20% и за месяц на 10% — служат для уведомления администратора
- Льготный период: система анализирует 90-дневный период. Если превышение лимита происходит более 20 раз (не обязательно подряд), функционал платформы ограничивается:
- Глубина поиска по событиям сокращается до 7 дней
- Запуск новых задач блокируется
- Отключается коррелятор
- Восстановление: после устранения причин превышения лимита (настройка источников, увеличение лицензии) система ежедневно проверяет соответствие, и функционал возвращается
План перехода на версию 27.4
Чтобы обновление прошло гладко, рекомендуется придерживаться следующего плана:
- Проверка совместимости: убедитесь, что ваша ОС (Astra Linux, Debian 11/12) поддерживается. Обновите ОС при необходимости
- Резервное копирование: обязательно создайте бэкапы всех конфигураций и базы данных перед началом процесса
- Подготовка системы: остановите все задачи по сбору событий и проверьте запланированные. Убедитесь в наличии свободного места на диске (не менее 50 ГБ для распределённой и 60 ГБ для All-in-One установки)
- Процесс обновления:
- Используйте утилиту screen для избежания разрывов сессии
- Обновляйте компоненты поэтапно, начиная с главной площадки в иерархических установках
- Детальные инструкции доступны на справочном портале Help → Security
- В сложных случаях обращайтесь в техническую поддержку: https://cpsupport.ru/ptconsult
Заключение
Переход на MaxPatrol 10 версии 27.4 — это не только получение доступа к новым мощным инструментам, таким как PTCMS и улучшенный BAT, но и значительный шаг вперёд с точки зрения производительности, удобства использования и автоматизации. Регулярное обновление позволяет оставаться на острие экспертизы по киберугрозам, расширять поддержку новых технологий и обеспечивать эффективную работу специалистов по информационной безопасности.
Для получения дополнительной информации, пилотного внедрения или консультаций по обновлению вы можете обратиться к нам: https://cpsupport.ru/ptconsult
Обзор новинок и ключевых аспектов обновления MaxPatrol 10 версия 27.4
Системный инженер TS Solution и сертифицированный тренер учебного центра NTC
Елизавета Кузнецова
Получайте анонсы предстоящих мероприятий и регистрируйтесь на них быстро и просто через Telegram-бот
Скачать материалы
Снижение нагрузки на CPU до 20%
Улучшенный интерфейс управления лицензиями
Новый механизм контроля потока событий
новых правил корреляции для обнаружения атак
Главные новости релиза:
20%
+15
Во время просмотра записи этого вебинара, посвященного обновлению MaxPatrol 10 до версии 27.4, вы узнаете:
ответы на самые волнующие вопросы про один из главных релизов этого года от компании Positive Technologies
все особенности перехода на новую версию
потенциал новых возможностей, условий лицензионного контроля и технических улучшений системы
Вебинар будет полезен
ИТ-руководителям и системным администраторам
Вебинар даст ясность о влиянии обновления на существующую инфраструктуру и условиях лицензирования для планирования ресурсов
Специалистам по ИБ
Вебинар поможет глубже понять технические аспекты, новые методы обнаружения угроз и особенности внедрения для повышения эффективности ежедневной работы
Руководителям отделов ИБ
Будет интересно для оценки новых возможностей управления рисками и соответствия требованиям регуляторов, которые предлагает обновление
Проверьте себя по шпаргалке от экспертов TS Solution
Чек-лист эффективности SIEM: 9 ключевых критериев
Только важные новости и выгодные предложения - без спама
Только важные новости и выгодные предложения - без спама
