Positive Technologies выпустила новую версию продукта для выявления киберугроз на конечных устройствах и реагирования на них — MaxPatrol EDR 7.0. Обновление направлено в первую очередь на крупные организации с распределенной инфраструктурой. Система позволяет реагировать на инциденты из внешних систем с помощью API, выполнять действия на множестве агентов, добавлять собственные правила обнаружения, создавать и тиражировать пользовательские шаблоны политик безопасности. Также добавлена поддержка отказоустойчивой кластерной установки серверов управления. Все эти особенности позволят пользователям в десятки раз ускорить процессы реагирования на обнаруженные инциденты, а организациям — сократить операционные расходы на внедрение системы и ее масштабирование. Об этом CNews сообщили представители Positive Technologies.
MaxPatrol EDR уже используется в крупных территориально распределенных ИТ-инфраструктурах. Учитывая запросы таких клиентов, их опыт отражения реальных атак и особенности внедрения инструментов ИБ, эксперты Positive Technologies усовершенствовали продукт, чтобы его применение было легким и удобным. Добавлены новые, более эффективные преднастроенные политики обнаружения, а также возможность создавать шаблоны на основе собственных политик и тиражировать их между филиалами и отделениями организации. Появился новый модуль конфигурирования параметров аудита операционных систем Windows. Эти обновления позволят снизить трудозатраты на внедрение системы в крупнейших инфраструктурах и обеспечить централизованный процесс выявления злоумышленников, что особенно важно для клиентов, которые уже давно используют возможности мониторинга с помощью MaxPatrol SIEM.
«Мы выпустили MaxPatrol EDR как отдельный продукт в октябре 2023 г., но технологии, лежащие в его основе, еще задолго до этого доказали свою эффективность. Учитывая то, что конечные устройства — одни из самых популярных точек проникновения злоумышленников в инфраструктуру, наша команда продолжает совершенствовать систему, с каждым обновлением повышая ее результативность, — сказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Например, добавление поддержки кластерной установки было одним из самых частых запросов клиентов. По нашим наблюдениям, сегодня десятки крупнейших компаний строят отказоустойчивые кластерные системы, которые суммарно обрабатывают миллионы событий в секунду. Теперь наш продукт позволяет обеспечить бесперебойную защиту конечных устройств в таких инфраструктурах».
Улучшить пользовательский опыт помогут и другие возможности MaxPatrol EDR. Так, новая версия позволяет реагировать на инциденты ИБ на множестве агентов. Например, если атаке подвергнутся два десятка устройств, специалисты смогут выполнить необходимые действия сразу на всей группе защищаемых устройств. При этом консоль позволит визуально контролировать статус этой активности на каждом устройстве и продолжать выполнение действий с выбранной группой, не прерываясь на повторный выбор агентов. Это поможет многократно сократить время реагирования (например, с десятков до считанных минут). Кроме того, выполнять действия на агентах теперь можно и из сторонних систем, для этого предусмотрен API реагирования.
Еще одно важное новшество — пользователи MaxPatrol EDR могут добавлять в продукт собственные правила обработки событий для выявления инцидентов. Это позволит компаниям точнее настроить систему под особенности инфраструктуры, применить в продукте опыт специалистов ИБ для раннего обнаружения специфических и сложных угроз. Кроме того, в новой версии MaxPatrol EDR увеличена скорость и стабильность работы, снижено потребление памяти, добавлена поддержка нескольких операционных систем.