Команда MaxPatrol SIEM, лидера на российском рынке SIEM, в 2025 году решила сфокусироваться на повышении стабильности системы и удобства работы. Главные результаты — рост производительности на 20%*, прорывной скачок в качестве детектирования киберугроз и повышение эффективности ML-модуля MaxPatrol BAD.
Сильная сторона MaxPatrol SIEM, о которой говорят пользователи продукта, — детектирование актуальных киберугроз. Достигается оно за счет повышения количества и качества правил, поставляемых экспертным центром безопасности Positive Technologies (PT ESC). С 2022 по 2025 год количество правил корреляции в продукте выросло в 3,5 раза — с 483 до 1687. Согласно информации, которую публикуют игроки рынка SIEM, MaxPatrol SIEM является мировым лидером** по количеству правил корреляций, поставляемых «из коробки».
Работа большого числа экспертных правил зачастую требует повышенного потребления вычислительных ресурсов. Чтобы нивелировать этот эффект, команда MaxPatrol SIEM внесла кардинальные изменения в схему взаимодействия компонентов — коррелятора, нормализатора, подсистемы обогащения — между собой. Новые версии конвейера обработки событий эффективнее утилизируют ресурсы на одном и том же потоке за счет оптимизации работы внутренних сервисов и использования новых архитектурных подходов. В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3(8.5) и 27.4 (8.6) снизились требования к центральному процессору (CPU) до 20%.
Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность MaxPatrol SIEM при пульсации нагрузки, что было критически важно для многих клиентов. Оптимизация сглаживания потока и автоматическая адаптивная подстройка потребления аппаратных ресурсов под поток приводят к тому, что MaxPatrol SIEM может обрабатывать большее количество событий в секунду (events per second — EPS) на том же «железе».
Подробнее про экспертизу MaxPatrol SIEM. Помимо роста количества правил корреляций, изменился и сам подход написания экспертизы: контента в карточке события стало больше, а уровень детектирования актуальных киберугроз стал выше. Продолжает увеличиваться покрытие техник из матрицы MITRE ATT&CK. Сейчас MaxPatrol SIEM детектирует 100% популярного хакерского инструментария, который используют APT-группировки и хактивисты****. Этого удалось достичь благодаря актуальной информации из проектов, которые проводят команды Incident Response и Red Team Positive Technologies. Эксперты расследуют кибератаки, анализируют новые инструменты злоумышленников. Вся информация находит отражение в MaxPatrol SIEM, который обогащается за счет ежедневной работы экспертного центра безопасности Positive Technologies. Благодаря тому, что PT ESC обнаруживает уязвимости нулевого дня и согласно принципам ответственного разглашения помогает вендорам их устранять, MaxPatrol SIEM детектирует опасные для российских компаний угрозы, которые не могут быстрее Positive Technologies обнаружить другие вендоры. Например, в августе 2025 года эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server. Эксплуатация цепочки обнаруженных недостатков могла привести к полной компрометации серверов видео-конференц-связи. MaxPatrol SIEM обнаруживает эти уязвимости с помощью правил, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows.
Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур.
По итогам всех нововведений повысилось удобство работы с продуктом, а также сократилась скорость реакции на киберинцидент. Сейчас аналитик SOC для расследования может использовать лишь информацию из карточки события в интерфейсе MaxPatrol SIEM, не обращаясь к внешним источникам. Новые экспертные правила поставляются в систему раз в две недели, для трендовых уязвимостей — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц.
* Согласно данным внутренних тестов Positive Technologies, полученным для процессора на компоненте «SIEM-сервер» MaxPatrol SIEM 27.4 (8.6) в сравнении с MaxPatrol SIEM 27.2 (8.4), база данных LogSpace.
** По оценке Positive Technologies, сделанной на основе публичной информации, размещенной на сайтах вендоров SIEM-систем.
*** Количество открытых дефектов на 30 сентября 2025 года по сравнению с 31 октября 2024 года.
**** По данным Positive Technologies (команда Incident Response).
Источник: Positive Technologies
