MaxPatrol SIEM 8.0：用于行为分析的 ML，降低了硬件要求，每秒可处理超过 50 万个信息安全事件

Positive Technologies 发布了 MaxPatrol SIEM 信息安全事件监控和事件检测系统的第八个版本。更新后的产品将使该公司在需要超大型安装的公司和需要使用人工智能技术的政府机构中的市场份额增加近三分之一。

主要变化包括降低了硬件要求，提高了系统性能（最高可达每秒 54 万个事件），以及由于使用了内部开发的LogSpace DBMS，数据存储容量或时间增加了六倍。

新版 MaxPatrol SIEM 大大降低了对硬件资源的要求：例如，现在要部署一个每秒处理多达 5000 个事件的系统，所需的处理器（vCPU）和 RAM 只有以前的一半。这将使公司降低硬件购置成本，并使系统更易于安装。这些都是与所有国内公司息息相关的重要参数--因为购买新设备的成本不断上升，而且困难重重。

此外，MaxPatrol SIEM 的性能也得到了显著提高：在单个内核上使用所有专家规则，更新后的产品每秒可处理超过 54 万个信息安全事件。有了这一成果，就可以对大型事件流进行监控，而不会降低检测质量，在选择专业软件包时也不会打折扣。性能的提高使我们能够为大型地理分布式基础设施提供有效的网络安全，这些基础设施将数百个 MaxPatrol SIEM 组件集成到一个监控点中。

MaxPatrol SIEM 8.0 引入了行为异常检测（BAD）ML 模块，可使用 MITRE ATT&CK模型（执行、指挥和控制以及水平移动战术）检测恶意攻击，并验证相应的相关规则。ML 模块减轻了 SIEM 分析师的认知负担，使其能够更快、更准确地对信息安全事件做出决策。BAD 作为第二意见系统运行。该模块包含 38 个机器学习模型，这些模型是在 Positive Technologies 20 年事件调查经验的基础上开发的。BAD 可收集和分析事件、用户、事件背景流程的相关数据，并为其分配一定的风险分数。

Positive Technologies 公司 MaxPatrol SIEM 产品经理 Ivan Prokhorov 评论说："MaxPatrol SIEM 是一款成熟的产品，它能有效检测出企图破坏公司网络复原力的行为，以及导致在组织、行业和国家范围内发生不可接受事件的信息安全事件。MaxPatrol SIEM 8.0 的专家内容以及与行为异常检测模块的集成使该产品既能检测已知攻击，也能检测不为人知的攻击和异常情况。一站式监控多个地理分布的设施，使信息安全分析人员能够对此类威胁做出快速反应"。自 7.0 版起，SIEM 系统支持 Positive Technologies 专门开发的 LogSpace 事件存储。在新版本中，通过减少进入 MaxPatrol SIEM 的信息安全事件的大小，LogSpace 中的数据量或保留时间比开源数据库管理系统增加了六到三倍。

Positive Technologies MaxPatrol SIEM 开发经理 Roman Sergeyev 说："我们看到了市场需求，即降低存储事件所需的处理器功率、内存和磁盘空间。客户希望通过 syslog 协议传输到 SIEM 系统的事件数量成倍增加。此外，越来越多拥有大型地理分布基础设施的公司与我们联系。为了满足这些需求，我们的开发团队进行了全面的工作，以提高 MaxPatrol SIEM 的性能"。

MaxPatrol SIEM 的一系列改进旨在提高信息安全分析师调查事件时的工作效率和便利性。新的信息安全事件卡侧重于提供来自第三方服务（包括内部正向技术和外部服务）的事件相关附加信息，以及在不改变上下文的情况下分析与事件相关的事件的能力。来自第三方服务的数据被分组并显示在 MaxPatrol SIEM 的单个屏幕中，用户无需切换到其他窗口或滚动屏幕。因此，通过上下文过滤器、内置的跨服务集成、使用 PDQL4 查询的最新搜索以及用户体验优化，操作员在不改变上下文的情况下处理每个网络事件的速度比前一版本产品快两倍。

为了简化假设检验任务，我们扩展了与 Positive Technologies 产品和第三方服务的集成：现在可以从事件卡向 PT Network Attack Discovery、PT Endpoint Detection and Response (PT EDR)、RST Cloud、Whois7 和其他系统发送交叉服务请求。

您还可以从事件卡向 PT Threat Analyzer 子系统发送交叉服务请求。它有助于根据入侵指标（有关攻击者及其攻击工具的信息）建立事件检测和优先级排序。PT Threat Analyzer从各种来源收集威胁数据，包括PT Threat Intelligence Feeds服务以及其他商业和开源数据源。

要升级到 MaxPatrol SIEM 8.0，请联系 Positive Technologies 合作伙伴。