Pada tahun 2012, kami mulai membuat produk baru yang besar untuk menggantikan MaxPatrol 8 . Di dalam perusahaan, ia menerima julukan MaxPatrol X. Pada saat itu, kami memiliki pemahaman bahwa adalah mungkin untuk membuat produk baru secara kualitatif hanya dengan mengubah pendekatan untuk memecahkan masalah. Pendekatan tersebut dikaitkan dengan ide-ide pengumpulan dan analisis informasi skala penuh tentang segala sesuatu yang terjadi dalam infrastruktur TI (analisis konfigurasi node, konfigurasi jaringan, analisis tentang apa yang terjadi di jaringan - yaitu, analisis lalu lintas - dan pada node - yaitu analisis log). Dari kebutuhan untuk mengumpulkan dan menganalisa kayu gelondongan ternyata lahirlah SIEM. Untuk ulang tahun ke 5 MaxPatrol SIEM , yang masuk pasar pada tahun 2015, kami memutuskan untuk menceritakan sebuah kisah tentang perkembangannya.
Dalam salah satu proyek di tahun 2013, prinsip arsitektur pemrosesan data yang kami butuhkan mulai muncul. Pengumpulan, normalisasi, korelasi, penyimpanan. Pendekatan MITRE CEE (subject - action - object - state) dipilih sebagai dasar normalisasi , yang pada saat itu terkesan sangat tepat dan menarik. Tetapi masa depan telah menunjukkan bahwa peristiwa nyata tidak selalu cocok dengan landasan Procrustean pendekatan akademis CEE.
Langkah pertama dan kesalahan pertama
Akan ada banyak judul yang tidak bisa dipahami dalam paragraf ini, tetapi kami memutuskan untuk memberi tahu Anda yang sebenarnya, dan karena itu bersabarlah :)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .