MaxPatrol SIEM 7.0: что нового

• Вебинар посвящен переходу на Linux и новым возможностям, которые появились в новой версии продукта.  

• Обсуждаются вопросы версионности и совместимости с другими продуктами.  

• Агент на Linux уже сейчас может выполнять поиск активов, пинтест, аудит и другие функции.  

• Некоторые функции, такие как транспорт и мониторинг, могут быть перенесены на Linux-агент.  

• Один с подтягивается к концу года, так как многие заказчики уже собирают события из него.  

• Поддержка сбора событий из Одинс с помощью толстого агента Одинс.  

• Возможность собирать более подробную информацию о событиях и сохранять чек-пойнты.  

• Интеграция с Нетворкта Дискавери для обнаружения угроз и сообщения о них Сиеме.  

• Возможность обновления и миграции на другую версию Сиемы без дополнительных затрат.  

• Лок Спейс - хранилище событий, которое позволяет увеличить глубину хранения до 70 раз.  

• Сравнение с другими базами данных, улучшение производительности на 30-40%.  

• Полнотекстовый поиск, возможность поиска по сырому событию и части предложения.  

• Распределенный поиск событий для крупных заказчиков.  

• В системе появилась функция автоматизации присвоения значимости активам, что облегчает работу оператора.  

• Можно создавать правила, под которые будут попадать активы и получать приоритет в автоматическом режиме.  

• Обсуждаются вопросы о миграции из ластика в лок спейс, инструкции по миграции и сравнение с другими системами.  

• Упоминается возможность создания правил для приоритизации активов и их значимость.  

• Обсуждается резервное копирование и документация по лок спейсу.  

• В системе теперь можно сохранять историю запросов, чтобы аналитики могли быстро вернуться к предыдущим запросам при расследовании инцидентов.  

• История запросов хранится под конкретным пользователем и может быть добавлена в избранное для быстрого доступа.  

• Коррелятор был переработан и улучшен, теперь он может обрабатывать до 60 000 событий в секунду и использовать несколько ядер процессора.  

• Производительность коррелятора выросла на 20-30%, что позволяет быстрее справляться с большим потоком событий.  

• Коррелятор теперь многопоточный и может использовать оперативную память более эффективно.  

• В новом релизе улучшена производительность модуля слога, который теперь многопоточный и работает на 30% эффективнее.  

• Модуль слога теперь может обрабатывать до 15 к ипс на одном агенте.  

• Теперь агент не использует ядро системы как прокси для передачи событий, что снижает нагрузку между компонентами и на само ядро.  

• Версия 1.1.1 библиотеки OpenSSR используется на сем сервере.  

• Библиотека стала более безопасной и надежной.  

• В связи с переходом на новую версию ядра, агент теперь отправляет данные напрямую в съем-сервер, а не через ядро.  

• Это снижает нагрузку на ядро и позволяет использовать больше агентов для обработки большего количества данных.  

• Отказались от использования ластика 1.7 и перенесли инциденты в прогресс.  

• Перешли на единый веб-сервер на основе джикс для всех версий ядра.  

• В 2022 году больше не будет возможности установки макс патрол съем на винду.  

• Введена новая команда дроб для удаления ненужных событий из системы.  

• Это позволяет экономить место на дисках и оптимизировать работу с данными.  

• В новом релизе системы, контент обновляется быстрее благодаря оптимизации и использованию новых технологий.  

• Это позволяет быстрее находить и ловить атаки, а также оптимизировать код для более эффективной работы.  

• Метапродукты, такие как Вьем Сом, используют данные от нижестоящих продуктов для анализа и превентивной реакции на угрозы.  

• В новом релизе улучшена интерпретация данных сетевого аудита от устройств Open VPN, Nexus и ODCIS.  

• В новом релизе появилась возможность давать административный доступ к непривязанным инцидентам, что облегчает работу с активами и группами.  

• В новом релизе появились шаблоны отчетов, которые можно использовать для создания своих отчетов на основе предустановленных.  

• Также доступен распределенный поиск по всем нижестоящим площадкам, что упрощает работу с большими организациями.  

• В видео рассказывается о новой функции - интеграции с Диром, которая позволяет агентам Иксдира сканировать активы и передавать информацию в систему СЭМ.  

• Это облегчает работу и снимает нагрузку с канала и железа, на котором крутится СЭМ.  

• В видео также упоминается возможность использования Пойнт для сканирования и респонса, а также для настройки ССМОНа.  

• Это позволяет автоматизировать задачи и облегчить работу.  

• В конце видео автор напоминает о наличии чата, где можно задать вопросы и получить ответы от разработчиков и партнеров.  

• Также упоминается возможность заказать демо-версию системы для быстрого принятия решения о покупке.