В повседневной жизни мы используем огромное количество приложений на своих устройствах и обновление версий софта настолько рутинный процесс, на который мы не обращаем внимания, напротив – постоянное добавление новых функций уже необходимость.
В продуктах информационной безопасности обновления не так часты и тем более приятно, что настолько ожидаемые и полезные изменения теперь выходят даже в минорных версиях системы.
В феврале этого года Positive Technologies выпустила новую версию (6.1) системы выявления инцидентов безопасности MaxPatrol SIEM. Изменения коснулись не только интерфейса, но и таких глобальных функций, как хранение инцидентов, интеграция с Active Directory, мониторинг загруженности коррелятора и др.
Теперь система позволяет использовать PostgreSQL для хранения данных об инцидентах, отслеживать IT-активы с неактуальными данными с помощью специального виджета, осуществлять контроль загруженности коррелятора, для своевременной актуализации и корректировки правил, вносящих задержки в процесс обработки данных.
С переходом на PostgreSQL пользователи MaxPatrol SIEM не ограничены в объеме сведений об инцидентах, которые могут храниться и обрабатываться в продукте.
PostgreSQL кроссплатформенная СУБД и широко распространена в российских государственных учреждениях и крупных компаниях, что делает MaxPatrol SIEM более привлекательным для таких заказчиков. В следующей версии вендор планирует дать возможность полностью устанавливать продукт на Linux.
Контроль загруженности коррелятора позволяет оптимизировать работу правил — без очередей.
Мониторинг коррелятора позволяет отслеживать правила корреляции, которые потребляют больше всего оперативной памяти и нагружают коррелятор, таким образом выявляя те, что требуют оптимизации, чтобы они срабатывали точнее — без долгого ожидания недостающих условий срабатывания.
Значимость изменений в интерфейсе также не стоит недооценивать: аналитики ИБ проводят в системе достаточно долгое время и наличие удобных виджетов, возможности по их кастомизации, гибкость настройки дашбордов значительно облегчают ежедневный труд специалистов центров мониторинга. Зачастую решение о покупке таких систем принимают после пилотного тестирования, где в процессе опытной эксплуатации удобство работы с системой играет не последнюю роль для заказчика.