MaxPatrol 10 (MaxPatrol SIEM, MaxPatrol VM) - 安全信息和事件管理 (SIEM), 下一代漏洞管理系統(tǒng)

Positive Technologies MaxPatrol 10 v26.0 for Debian 10

請訪問原文鏈接：https://sysin.org/blog/pt-maxpatrol/，查看最新版。原創(chuàng)作品，轉載請保留出處。

作者主頁：sysin.org

Positive Technologies

關于 MaxPatrol 10

Positive Technologies MaxPatrol 10 (MaxPatrol 10) 是一個收集、存儲和分析公司 IT 基礎設施中發(fā)生的事件數(shù)據(jù)的系統(tǒng)。這確保了對整個 IT 基礎設施以及各個細分、主機和應用程序的信息安全監(jiān)控。

MaxPatrol 10 提供以下基本功能：

• 資產庫存。該系統(tǒng)定期收集有關網(wǎng)絡主機及其之間交互的數(shù)據(jù)。
• 事件數(shù)據(jù)收集。事件源是任何受支持的硬件或軟件。
• 事件分析以檢測信息安全事件。Positive Technologies 專家不斷更新一套為分析提供基礎的特殊規(guī)則。
• 信息安全事件管理 (sysin)。該系統(tǒng)有助于管理信息安全事件調查和響應。
• 數(shù)據(jù)可視化。有關資產、事件和事件的摘要信息以圖表和表格的形式顯示在系統(tǒng) Web 界面中。

MaxPatrol 10 提供以下附加功能：

• 專業(yè)知識包。使用由 Positive Technologies 專家開發(fā)的知識庫。該數(shù)據(jù)庫包含有關黑客攻擊的最新策略和技術的數(shù)據(jù)，有助于檢測復雜的非標準攻擊。
• 資產管理自動化。系統(tǒng)可以自動設置資產重要性以及 IT 基礎設施掃描后收到的資產數(shù)據(jù)的新鮮度和老化期。
• 聲譽列表。有關惡意 IP 地址和危險文件哈希的最新信息用于防止事件發(fā)生。
• 事件重新檢查。添加新規(guī)則或更新表格列表數(shù)據(jù)后，對先前接收到的事件進行回顧性關聯(lián)；回顧性地尋找妥協(xié)的指標。
• 資產安全監(jiān)控 (sysin)。該系統(tǒng)分析并監(jiān)控企業(yè)整個 IT 基礎設施以及單個主機和系統(tǒng)的安全標準合規(guī)性。
• 發(fā)送通知。通知操作員有關企業(yè) IT 基礎設施的變化、數(shù)據(jù)收集任務的操作、正在收集的事件以及檢測到的信息安全事件。
• 與 PT NAD 集成。基于會話和攻擊的事件注冊。

MaxPatrol 10 架構

MaxPatrol 10 由可部署在單個或多個服務器上的軟件組件組成。這種結構確保了在任何規(guī)模的企業(yè)中部署系統(tǒng)的可擴展性。對于高生產力系統(tǒng)（每秒超過 3,000 個事件），建議分布式安裝 MaxPatrol 10。

1、MaxPatrol 10 Core component

MaxPatrol 10 Core 組件（MP 10 Core）是系統(tǒng)的主要組件和管理服務器。MP 10 Core 安裝在企業(yè)總部或主要區(qū)域辦事處或職能部門 (sysin)，提供以下功能：

• 資產配置集中存儲
• 所有系統(tǒng)組件的集中管理
• 及時響應信息安全事件
• 企業(yè)分支機構聯(lián)動調查事件
• 漏洞管理流程自動化
• 支持系統(tǒng) Web 界面

2、MaxPatrol SIEM Server component

MaxPatrol SIEM Server 組件（MP SIEM Server）提供安全事件處理的主要功能：

• 事件的標準化、聚合、豐富和關聯(lián)
• 自動事件創(chuàng)建
• 從事件創(chuàng)建資產
• 將事件與資產鏈接

3、MaxPatrol SIEM Events Storage component

MaxPatrol SIEM 事件存儲組件（MP SIEM 事件存儲）提供事件信息的集中存儲。

4、MaxPatrol 10 Agent component

MaxPatrol 10 Agent 組件（MP 10 Agent）掃描公司 IT 基礎設施資產并從源收集事件。MP 10 Agent 具有模塊化結構。掃描模塊檢測主機以及主機開放的網(wǎng)絡服務，并在滲透測試模式下進行特定的檢查。

MP 10 Agent 收集有關資產的以下信息：操作系統(tǒng)的名稱、版本和供應商；安裝的操作系統(tǒng)更新；已安裝軟件的列表；操作系統(tǒng)和軟件參數(shù)；用戶帳戶和權限 (sysin)；有關硬件、正在運行的操作系統(tǒng)網(wǎng)絡服務、網(wǎng)絡和安全工具參數(shù)的信息。

MP 10 Agent 管理模塊、監(jiān)控其狀態(tài)并確保模塊與 MP SIEM 服務器組件之間的數(shù)據(jù)交換。

您可以將多個 MP SIEM Server 組件連接到單個 MP 10 Agent 組件。因此，您可以提高性能，在掃描期間考慮網(wǎng)絡拓撲和數(shù)據(jù)通道類型，例如安裝的防火墻或其他安全工具。

5、MaxPatrol NAD Sensor component

MaxPatrol NAD 傳感器組件（MP NAD 傳感器）對 OSI 模型 L2-L7 層的網(wǎng)絡流量進行全面分析并收集連接數(shù)據(jù)。

MP NAD 傳感器組件由核心代理和 DPI 事件收集器模塊以及 Positive Technologies 網(wǎng)絡攻擊發(fā)現(xiàn)產品 (PT NAD) 組成。

與普通版 PT NAD 不同，MP NAD 傳感器具有以下特點：

• 捕獲的流量不會保存到硬盤驅動器（無 PCAP 文件存儲庫）。
• 流量元數(shù)據(jù)最多存儲一天。
• 流量捕獲速率限制為 1 Gbps。

6、Knowledge Base component

知識庫組件是 Positive Technologies 產品的統(tǒng)一知識庫。知識庫包含專業(yè)知識包（規(guī)則集和表格列表）、宏和事件字段方案、有關漏洞的信息（漏洞發(fā)生的條件和修復方法）、安全公告和資產上可能的軟件。此外，知識庫還提供了用于處理數(shù)據(jù)庫數(shù)據(jù)的 SDK 實用程序。

7、PT Management and Configuration component

PT 管理和配置組件 (PT MC) 提供以下功能：

• 單點登錄到企業(yè)基礎設施中部署的 Positive Technologies 產品
• 系統(tǒng)用戶管理，包括創(chuàng)建新賬戶、授予權限、屏蔽和激活賬戶
• 用戶活動記錄

8、PT Update and Configuration Service component

PT 更新和配置服務組件 (PT UCS) 是 MaxPatrol 10 組件的在線更新服務。PT UCS 確保檢查新版本組件的可用性、下載和安裝，并更新專業(yè)知識包、宏、事件字段方案和漏洞數(shù)據(jù)庫。

PT UCS 使用 SaltStack 軟件向組件提供新版本：Salt Master 模塊安裝在 PT UCS 服務器上，Salt Minion 模塊安裝在 MaxPatrol 10 組件服務器上 (sysin)。PT UCS 從 Positive Technologies 全局更新服務器下載組件的新版本，并將其發(fā)送到 Salt Minion 模塊，以便使用 Salt Master 模塊進行安裝。

9、PT Cybsi Provider component

PT Cybsi Provider 組件 (PT CP) 提供有關信息安全威脅和危害指標的實時企業(yè)特定數(shù)據(jù)。妥協(xié)指標是在網(wǎng)絡或操作系統(tǒng)中觀察到的工件，并且是基礎設施中惡意活動的跡象。

作為信息安全威脅和危害指標的數(shù)據(jù)來源，PT CP 支持卡巴斯基、Positive Technologies 和 Group-IB 的聲譽服務。要獲取卡巴斯基和 Group-IB 信譽服務的許可證，請聯(lián)系供應商（有關更多信息，請訪問 kaspersky.com 和 group-ib.com ）。

10、PT Retro Correlator component

PT Retro Correlator 組件 (PT RC) 使用相關規(guī)則來重新檢查之前收到的事件。該組件由服務 mpagent.service 和 siemserver-retrocontroller.service 組成。

11、PT Security Intelligence Portal component

PT 安全情報門戶組件 (PT SIP) 以清晰且用戶友好的格式提供有關資產、漏洞和事件的信息，以評估基礎設施安全狀態(tài)和信息安全效率。PT SIP 為企業(yè)管理層、信息安全部門負責人和信息安全專家提供信息安全數(shù)據(jù)分析和決策支持。

MaxPatrol 10 operating algorithm and component interaction scheme

MaxPatrol 10 的操作算法如下：

• 代理收集有關公司 IT 基礎設施的數(shù)據(jù)：
• — MP 10 Agent 組件模塊掃描 IT 基礎設施，從源收集網(wǎng)絡主機信息和事件。
• — MP NAD 傳感器組件收集網(wǎng)絡連接信息。
• 代理將收集的數(shù)據(jù)發(fā)送到 MP SIEM 服務器和 MP 10 Core。發(fā)送的事件在 MP SIEM Server 中用于規(guī)范化、聚合、豐富和關聯(lián)。
• MP 10 核心處理并存儲掃描結果，以及有關檢測到的操作系統(tǒng)、軟件、服務、端口的詳細信息以及有關主機及其之間交互的其他信息。此外，該組件還存儲數(shù)據(jù)收集任務、掃描配置文件和傳輸?shù)膮?shù)以及引用的數(shù)據(jù)和腳本，并通過聯(lián)系其余系統(tǒng)組件來執(zhí)行用戶請求來管理對這些數(shù)據(jù)的訪問。
• MP SIEM Server 處理傳入的事件流，根據(jù)規(guī)范化規(guī)則統(tǒng)一事件的格式，并根據(jù)聚合規(guī)則對事件進行分組。它還將事件鏈接到資產，并在必要時根據(jù)事件創(chuàng)建新資產 (sysin)。接下來，它使用豐富規(guī)則或表格列表豐富事件數(shù)據(jù)，并根據(jù)關聯(lián)規(guī)則分析規(guī)范化事件的流程，以檢測和注冊信息安全事件。MP SIEM 服務器以原始（未處理）和標準化形式將傳入事件轉發(fā)到 MP SIEM 事件存儲以進行存儲。
• MP 10 Agent 服務器還可以規(guī)范事件。為此，請在 MP 10 代理服務器上安裝 MP SIEM 服務器的精簡版（代理上的 SIEM）。在此 MP 10 代理服務器上規(guī)范化的事件將被發(fā)送到主 MP SIEM 服務器以進行聚合、豐富和關聯(lián)。
• 知識庫包含一個包含數(shù)據(jù)的知識庫，MaxPatrol 10 使用這些數(shù)據(jù)構建從事件源和基礎設施對象接收到的信息以及檢測漏洞。
• MP 10 Core 使用知識庫中的數(shù)據(jù)計算資產的漏洞。
• PT MC 提供單點登錄來訪問系統(tǒng)并記錄用戶操作。
• 為了管理系統(tǒng)、查看數(shù)據(jù)、創(chuàng)建報告和監(jiān)控信息，用戶根據(jù) PT MC 中分配的權限通過 Web 界面連接到 MP 10 Core。
• PT CP 提供有關信息安全威脅和危害指標的數(shù)據(jù)。
• PT RC 使用新的關聯(lián)規(guī)則和表格列表數(shù)據(jù)對已收到的事件進行回顧性檢查。
• PT UCS 更新系統(tǒng)組件和知識庫。

部署選項 MaxPatrol SIEM

MaxPatrol SIEM 提供基礎設施 360° 可視性并檢測安全事件。定期更新 Positive Technologies 專家的知識。輕松適應網(wǎng)絡變化。

檢測重要威脅
我們的專家用于查明最新威脅的專業(yè)知識定期封裝在 PT 知識庫提供的專業(yè)知識包中。
MaxPatrol SIEM 借助 PT KB 不斷 “變得更加智能”，可幫助用戶在嚴重后果出現(xiàn)之前檢測到攻擊者 TTP。

減輕內部專家的負擔
專業(yè)知識包基于對新威脅的持續(xù)監(jiān)控、攻擊分析和事件調查 (sysin)。這減輕了負責監(jiān)控威脅和編寫規(guī)則的內部安全專家的負擔。專業(yè)知識包中包含的規(guī)則不需要繁瑣的調整，只需簡單配置即可使用。

提供基礎設施 360° 可視性
IT 基礎設施對安全人員變得透明：借助 MaxPatrol 漏洞和合規(guī)性管理系統(tǒng)的庫存技術，MaxPatrol SIEM 可以全面枚舉資產和安全漏洞。從 300 多種類型的系統(tǒng)中主動和被動收集數(shù)據(jù)。

評估攻擊的可行性
MaxPatrol SIEM 自動映射網(wǎng)絡拓撲并在發(fā)生變化時更新此信息?？梢暬兄诟玫亓私饣A設施、檢查資產端口、評估攻擊的可行性并調查事件。

維護完整的企業(yè)范圍安全狀況
通過顯示事件、事故、資產漏洞和觸發(fā)規(guī)則的儀表板，一目了然地查看整個安全狀況。用戶可以通過從 20 個默認小部件中進行選擇或創(chuàng)建自己的小部件來自定義儀表板。

部署選項 MaxPatrol VM

MaxPatrol VM：下一代漏洞管理系統(tǒng)

VMNG——改變了什么？

如何檢測和管理漏洞是任何信息安全專業(yè)人士都關心的問題，無論哪個行業(yè)。為了解決這些任務，公司使用安全分析工具。他們以自動模式對所有系統(tǒng)進行深度掃描，以識別漏洞和硬件配置錯誤。然而，掃描后問題仍然存在。要實施漏洞管理，還需要確定哪些漏洞對基礎設施最關鍵、從哪些方面入手、如何正確確定消除任務的優(yōu)先級以及如何評估哪些行動影響公司的安全級別 (sysin)。下一代漏洞管理系統(tǒng)不僅能夠及時識別漏洞，還能幫助構建整個漏洞管理流程。

MaxPatrol VM 是下一代漏洞管理系統(tǒng)。該解決方案允許您構建完善的漏洞管理流程，并在日常操作和緊急掃描期間對其進行控制。

使用 MaxPatrol VM，您可以：

• 獲取有關 IT 基礎設施的完整且持續(xù)更新的數(shù)據(jù)。
• 考慮受保護資產的重要性。
• 為 IT 部門識別漏洞、確定漏洞優(yōu)先級并設置漏洞處理規(guī)則。
• 控制漏洞消除。
• 監(jiān)控公司的整體安全水平。

MaxPatrol VM 基于獨特的安全資產管理（SAM）技術。這允許 MaxPatrol VM 使用主動和被動數(shù)據(jù)收集，隨時構建所觀察的 IT 基礎設施的完整且持續(xù)更新的模型。通過了解 IT 環(huán)境，該解決方案在所有公司系統(tǒng)中采用并自動化漏洞管理，同時考慮到網(wǎng)絡組件和基礎設施變更的重要性。

MaxPatrol VM 交互式儀表板
交互式儀表板有助于跟蹤關鍵資產掃描的狀態(tài)和有效性、新的未經(jīng)評估的網(wǎng)絡資產的出現(xiàn)、高嚴重性漏洞的數(shù)量以及漏洞消除指標。

Positive Technologies 產品和服務

Positive Technologies 是注重結果的網(wǎng)絡安全領域的行業(yè)領導者，也是信息安全解決方案的主要全球提供商。我們的使命是保護企業(yè)和整個行業(yè)免受網(wǎng)絡攻擊和不可容忍的損害。全球有超過 3,300 個組織使用我們公司開發(fā)的技術和服務。

Positive Technologies 是俄羅斯第一家也是唯一一家在莫斯科交易所上市的網(wǎng)絡安全公司（MOEX：POSI），擁有 180,000 名股東，而且還在不斷增加。

我們的新型解決方案——元產品——專注于以結果為導向的網(wǎng)絡安全方法。Positive Technologies 的首款元產品 MaxPatrol O2 可以在對公司造成不可容忍的損害之前自動檢測并阻止攻擊 (sysin)。MaxPatrol O2 可以替代安防監(jiān)控中心的整個團隊，并且只需要一個人來管理。該保護系統(tǒng)只需要專家最少的知識和精力。

為了證明以結果為導向的信息安全方法確實有效，我們進行了網(wǎng)絡演習（在我們自己的基礎設施以及其他基礎設施上）并公開測試我們的產品。我們的解決方案基于數(shù)百名信息安全專家 20 年的研究經(jīng)驗和專業(yè)知識。

Positive Technologies 的產品和服務有助于：

• 只需一個人的幫助即可以自動模式停止攻擊。
• 監(jiān)控安全并快速檢測基礎設施中的漏洞。
• 檢測任何規(guī)模的基礎設施（包括工業(yè)系統(tǒng)）中的安全事件。
• 檢測內部和外部流量中的攻擊。
• 保護 Web 應用程序免受 APT 攻擊。
• 檢測應用程序中的漏洞和錯誤 (sysin)，并支持安全開發(fā)流程。
• 檢測并反擊涉及現(xiàn)代惡意軟件的有針對性的大規(guī)模攻擊。
• 響應端點和基礎設施內部的網(wǎng)絡威脅，利用多個信息安全系統(tǒng)的事件和上下文來驗證攻擊。

我們在莫斯科、圣彼得堡、下諾夫哥羅德、薩馬拉、新西伯利亞、阿卡德姆哥羅多克和托木斯克設有七個俄羅斯辦事處，并在哈薩克斯坦設有一個辦事處。該團隊擁有 1,800 多名員工，其中包括專門從事 SCADA 和 ERP 系統(tǒng)、銀行和電信以及移動和 Web 應用程序保護的世界級專家。

Positive Technologies 受到國際分析機構的高度評價：該公司曾三度獲得 Gartner Web 應用程序防火墻 (WAF) 魔力象限中的遠見者地位。

我們?yōu)橐韵禄顒犹峁┝司W(wǎng)絡安全：

• 2013 年喀山夏季世界大學生運動會
• 2014 年索契奧運會
• 2018 年世界杯
• 2018 年俄羅斯總統(tǒng)選舉
• 2019 年克拉斯諾亞爾斯克冬季世界大學生運動會
• 2020 年俄羅斯憲法公投
• 2021 年俄羅斯國家杜馬選舉

Positive Technologies 被譽為全球道德安全研究領域的遠見者和領導者。每年，我們的專家都會在各種類別和類型的 IT 系統(tǒng)中發(fā)現(xiàn)數(shù)百個零日漏洞，其中包括 Cisco、Citrix、IBM、Intel、Microsoft 和 VMware 的產品。為了檢測危險漏洞，我們的專家已被列入 Adobe、Apple、AT&T、GitLab、Google、IBM、Mastercard、Microsoft、PayPal、VK 和 Yandex 等公司的名人堂。作為負責任的披露政策的一部分 (sysin)，所有檢測到的漏洞都會報告給軟件供應商，并且在供應商發(fā)布所需更新之前不會發(fā)布。

我們樂意分享我們對信息安全的了解：

• 12 年來，我們一直在舉辦自己的研究和實踐論壇 Positive Hack Days。作為俄羅斯和獨聯(lián)體國家最大的信息安全活動之一，成千上萬關心網(wǎng)絡安全的人士參加了此次活動：IT 和信息安全專家、企業(yè)和政府代表、安全研究人員和白帽人士、小學生和學生。在 Positive Hack Days 期間，舉辦了數(shù)百場講座和研討會，涵蓋信息安全中最有趣的主題，而競賽則為工業(yè)控制系統(tǒng)、銀行和移動服務以及網(wǎng)絡應用程序的保護分析增添了樂趣。2023 年，該論壇首次以開放網(wǎng)絡安全節(jié)的形式舉辦，云集了信息安全專家、技術開發(fā)人員以及莫斯科居民和嘉賓。
• 我們積極為一流大學制定教育計劃，幫助學生做好職業(yè)準備，在職業(yè)生涯中取得領先地位：由我們公司專家編寫的積極教育材料已在超過 65 所大學使用。
• 我們舉行了世界上最大的網(wǎng)絡戰(zhàn) “對峙”，它匯集了進攻性和防御性網(wǎng)絡安全方面最優(yōu)秀的俄羅斯和外國專家。該網(wǎng)絡靶場包含不同行業(yè)典型的生產鏈、業(yè)務場景和技術景觀的全保真復制品。專家分析了引發(fā)不可容忍事件的可能性以及預防方法。

系統(tǒng)要求

Software requirements

所有 MaxPatrol 10 組件均支持 Linux 系列 64 位操作系統(tǒng)，例如 Astra Linux Special Edition 1.7（基于 Linux 內核版本 5.4、5.10 或 5.15）或 Debian 10.3–10.13。您還可以在 Microsoft Windows Server 2012、2012 R2、2016、2019 或 2022 上安裝 MP 10 Agent 組件。

推薦使用：Debian 10.13 x86_64 OVF (sysin) - VMware 虛擬機模板

下載地址

Positive Technologies MaxPatrol 10 v26.0 for Debian 10
百度網(wǎng)盤鏈接：https://sysin.org/blog/pt-maxpatrol/

相關產品：

• PT Network Attack Discovery 11 (Linux) - 網(wǎng)絡檢測和響應 (NDR/NTA) 系統(tǒng)
• PT Network Attack Discovery 11 OVF - 網(wǎng)絡檢測和響應 (NDR/NTA) 系統(tǒng)

更多：HTTP 協(xié)議與安全文章來源地址http://www.zghlxwxcb.cn/news/detail-832950.html

到了這里，關于MaxPatrol 10 (MaxPatrol SIEM, MaxPatrol VM) - 安全信息和事件管理 (SIEM), 下一代漏洞管理系統(tǒng)的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！