2012年に、MaxPatrol8に代わる新しい大きな製品の製造を開始しました。社内ではMaxPatrolXというニックネームが付けられていました。その頃には、問題解決の考え方を一変させるだけで、質的に新しい商品が作れるとのことでした。このアプローチは、ITインフラストラクチャで発生するすべての情報の本格的な収集と分析(ノード構成の分析、ネットワーク構成、ネットワークで発生していることの分析(つまり、トラフィック分析)とノードでの分析(つまり、ログの分析))のアイデアに関連付けられていました。実際、ログを収集して分析する必要性から、SIEMが誕生しました。2015年に発売されたMaxPatrolSIEMの5周年を記念して、開発のストーリーを語ることにしました。
2013年のプロジェクトの1つで、必要なデータ処理アーキテクチャの原則が明らかになり始めました。収集、正規化、相関、保存。正規化の基礎としてMITRECEE(サブジェクト-アクション-オブジェクト-状態)アプローチが選択されましたが、当時は非常に正確で興味深いものでした。しかし、将来は、実際のイベントがCEEアカデミックアプローチのプロクラステアンベッドに常に完全に適合するとは限らないことを示しています。
最初のステップと最初の間違い
この段落には理解できないタイトルがたくさんありますが、私たちはあなたに完全な真実を伝えることに決めたので、それに耐えます:)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .