Em 2012, começamos a fazer um novo grande produto para substituir o MaxPatrol 8 . Dentro da empresa, ele recebeu o apelido de MaxPatrol X. Naquela época, sabíamos que era possível fazer um produto qualitativamente novo apenas mudando completamente a abordagem para resolver o problema. A abordagem foi associada às ideias de uma coleta e análise em grande escala de informações sobre tudo o que acontece na infraestrutura de TI (análise da configuração de nós, configuração de rede, análise do que está acontecendo na rede - isto é, análise de tráfego - e no nó - isto é, análise de logs). Da necessidade de coletar e analisar logs, de fato, nasceu o SIEM. Para o 5º aniversário da MaxPatrol SIEM , que entrou no mercado em 2015, decidimos contar uma história de desenvolvimento.
No decorrer de um dos projetos em 2013, os princípios da arquitetura de processamento de dados de que precisávamos começaram a emergir. Coleta, normalização, correlação, armazenamento. A abordagem MITER CEE (sujeito - ação - objeto - estado) foi escolhida como a base para a normalização , que na época parecia muito correta e interessante. Mas o futuro mostrou que eventos reais nem sempre se encaixam perfeitamente no leito de Procusto da abordagem acadêmica do CEE.
Primeiros passos e primeiros erros
Haverá muitos nomes incompreensíveis neste parágrafo, mas decidimos dizer-lhe toda a verdade e, portanto, seja tolerante :)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .