Архитектура решения MaxPatrol VM разработана для обеспечения масштабируемости и эффективности сканирования в сложных инфраструктурах.

Поговорим о её ключевых компонентах:
✓ Компонент MaxPatrol 10 Core является основным компонентом системы, ее управляющим сервером.

MP 10 Core устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях и выполняет следующие функции:

• централизованное хранение конфигурации активов;
• централизованное управление всеми компонентами системы;
• автоматизацию процесса управления уязвимостями;
• поддержку веб-интерфейса системы.

✓ Компонент MaxPatrol 10 Collector имеет модульную структуру и сканирует активы системы в режимах черного и белого ящика. Модули сканирования позволяют обнаруживать узлы и их открытые сетевые сервисы и проводить специализированные проверки в режиме теста на проникновение

MP 10 Collector в режиме активного и пассивного сканирования собирает следующую информацию об активах: название, версию и производителя операционной системы, установленные обновления ОС, список установленного ПО, параметры ОС и ПО, учетные записи пользователей и их привилегии, данные об аппаратном обеспечении, запущенных сетевых сервисах и службах ОС, параметрах сети и средств защиты;

• А также: управляет перечисленными модулями;
• обеспечивает мониторинг их состояния и также передачу данных между модулями и компонентом MP 10 Core.

✓ Компонент PT Management and Configuration (далее также — PT MC) обеспечивает:

• сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
• управление пользователями системы, включая создание учетных записей, назначение прав, блокирование и активацию учетных записей;
• интеграцию с Microsoft Active Directory, включая аутентификацию пользователей и синхронизацию прав доступа;
• управление иерархией продуктов Positive Technologies;
• журналирование действий пользователей;
• управление лицензиями продуктов Positive Technologies;
• прием, анонимизацию, шифрование и отправку телеметрических данных.

✓ Компонент PT Update and Configuration Service (PT UCS) выполняет следующие функции:

• проверку наличия, загрузку и установку новых версий модуля Pentest для коллекторов;
• проверку наличия и загрузку дистрибутива с новыми версиями компонентов c глобального сервера обновлений Positive Technologies.
• для доставки коллекторам новых версий модуля Pentest PT UCS использует ПО SaltStack: модуль Salt Master находится на сервере PT UCS, модуль Salt Minion — на серверах коллекторов.
• локальный сервер обновлений загружает обновления с глобального сервера обновлений Positive Technologies и передает их в изолированный сегмент сети при отсутствии прямого доступа к интернету.

Алгоритм работы MaxPatrol VM:

1. Модули компонента MP 10 Collector сканируют IT-инфраструктуру предприятия и собирают сведения о сетевых узлах. Собранные данные коллекторы передают в MP 10 Core.
2. Компонент MP 10 Core обрабатывает и хранит результаты сканирования с подробной информацией об обнаруженных ОС, ПО, службах, портах и прочими сведениями об узлах и связях между ними. Также компонент хранит параметры задач на сбор данных, профилей сканирования и транспортов, данные и сценарии справочников. И осуществляет контроль доступа к этим данным, связываясь с остальными компонентами системы для выполнения пользовательских запросов.
3. Используя данные базы уязвимостей MaxPatrol VM, компонент MP 10 Core рассчитывает уязвимости на активах.
4. Компонент PT MC обеспечивает доступ к системе через сервис единого входа и журналирует действия пользователей.
5. Для управления системой, просмотра данных, построения отчетов и мониторинга пользователь подключается к компоненту MP 10 Core через веб-интерфейс в соответствии с правами, которые назначены в PT MC.
6. Компонент PT UCS обеспечивает обновление модуля Pentest для коллекторов и загрузку дистрибутивов с новыми версиями компонентов.
7. Локальный сервер обновлений обеспечивает их загрузку и передачу с глобального сервера обновлений Positive Technologies при отсутствии прямого доступа к интернету.

Первоначальная лицензия приобретается клиентом при первой покупке MaxPatrol VM и включает в себя:

• Базовую лицензию на количество активов, покрываемых Системой.
• Инфраструктурные лицензии на инфраструктурные компоненты, используемые в рамках Системы.
• Лицензии на функциональные возможности Системы.

Базовая лицензия является обязательной. Она приобретается из расчета суммарного количества активов клиента. Если у клиента уже есть действующая базовая лицензия на программное обеспечение MaxPatrol SIEM, то повторное приобретение базовой лицензии не требуется.

Артикул базовой лицензии имеет вид PT-MPVM-Base-HNNNNN. Где NNNNN — максимальное количество активов, на которые распространяется лицензия.

Инфраструктурная лицензия позволяет использовать соответствующий инфраструктурный компонент MaxPatrol VM в составе системы мониторинга и корреляции событий. Артикул инфраструктурных лицензий MaxPatrol VM имеет вид PT-MPVM-XXX. Где XXX — принятое обозначение инфраструктурного компонента.

Возможна работа Системы в режиме отказоустойчивости. Для этого необходимо приобрести специальную лицензию вида PT-MPVM-HA-NNNNN. Где NNNNN — максимальное количество активов, на которые распространяется лицензия.
Количество активов в приобретаемой лицензии должно соответствовать количеству активов в базовой лицензии, даже если архитектура кластера предполагает резервирование только некоторых компонентов MaxPatrol VM.

Развертывание конфигурации MaxPatrol VM для вспомогательных задач также возможно с помощью дополнительной лицензии PT-MPVM-NPHNNNNN. Где NNNNN — максимальное количество активов, на которое распространяется лицензия.

При интеграции на базе единой платформы MaxPatrol 10 возможно использовать инфраструктурные компоненты от MaxPatrol SIEM в случае наличия приобретенной лицензии.

В каждой системе управления уязвимостями MaxPatrol VM должна присутствовать как минимум одна лицензия для выявления уязвимостей или лицензия для проверки на соответствие стандартам MaxPatrol VM.

При архитектурном расчете необходимого количества компонентов MaxPatrol 10 Collector важно учитывать:

• количество запускаемых задач на один Collector;
• тип источника;
• сетевую сегментацию