En 2012, nous avons commencé à fabriquer un nouveau gros produit pour remplacer MaxPatrol 8 . Au sein de l'entreprise, il a reçu le surnom de MaxPatrol X. À ce moment-là, nous savions qu'il n'était possible de créer un produit qualitativement nouveau qu'en modifiant complètement l'approche de résolution du problème. L'approche était associée aux idées d'une collecte et d'une analyse à grande échelle d'informations sur tout ce qui se passe dans l'infrastructure informatique (analyse de la configuration des nœuds, configuration du réseau, analyse de ce qui se passe dans le réseau - c'est-à-dire analyse du trafic - et sur le nœud - c'est-à-dire analyse des journaux). De la nécessité de collecter et d'analyser les logs, en fait, SIEM est né. Pour le 5e anniversaire de MaxPatrol SIEM , entré sur le marché en 2015, nous avons décidé de raconter une histoire de développement.
Au cours de l'un des projets de 2013, les principes de l'architecture informatique dont nous avions besoin ont commencé à émerger. Collecte, normalisation, corrélation, stockage. L'approche MITRE CEE (sujet - action - objet - état) a été choisie comme base de normalisation , qui à l'époque semblait très correcte et intéressante. Mais l'avenir a montré que les événements réels ne s'inscrivent pas toujours parfaitement dans le lit procrustien de l'approche académique CEE.
Premiers pas et premières erreurs
Il y aura beaucoup de titres incompréhensibles dans ce paragraphe, mais nous avons décidé de vous dire toute la vérité, et donc de la supporter :)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .