2012 haben wir begonnen, ein großes neues Produkt zu entwickeln, das MaxPatrol 8 ersetzt . Innerhalb des Unternehmens erhielt er den Spitznamen MaxPatrol X. Zu diesem Zeitpunkt hatten wir das Verständnis, dass es möglich war, ein qualitativ neues Produkt herzustellen, indem der Ansatz zur Lösung des Problems vollständig geändert wurde. Der Ansatz war mit den Ideen einer umfassenden Sammlung und Analyse von Informationen über alles verbunden, was in der IT-Infrastruktur geschieht (Analyse der Konfiguration von Knoten, Netzwerkkonfiguration, Analyse der Vorgänge im Netzwerk - dh Verkehrsanalyse - und auf dem Knoten - dh Analyse von Protokollen). Aus der Notwendigkeit heraus, Protokolle zu sammeln und zu analysieren, wurde SIEM geboren. Zum 5-jährigen Jubiläum von MaxPatrol SIEM , das 2015 auf den Markt kam, haben wir beschlossen, eine Entwicklungsgeschichte zu erzählen.
Im Verlauf eines der Projekte im Jahr 2013 entstanden die Prinzipien der Datenverarbeitungsarchitektur, die wir brauchten. Sammlung, Normalisierung, Korrelation, Speicherung. Als Grundlage für die Normalisierung wurde der MITRE CEE- Ansatz (Subjekt-Aktion-Objekt-Zustand) gewählt , der zu dieser Zeit sehr korrekt und interessant erschien. Die Zukunft hat jedoch gezeigt, dass reale Ereignisse nicht immer perfekt in das prokrustische Bett des akademischen Ansatzes von CEE passen.
Erste Schritte und erste Fehler
Es wird viele unverständliche Namen in diesem Absatz geben, aber wir haben beschlossen, Ihnen die ganze Wahrheit zu sagen und sie daher zu ertragen :)
Python, MongoDB. EPS. 2014 MaxPatrol X. RabbitMQ — MaxPatrol X, SIEM. Elasticsearch . , , , SIEM-. , «» FastReport. .
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .