2012年,我们开始制造新的大型产品来替代MaxPatrol 8。在公司内部,他获得了绰号MaxPatrolX。到那时,我们已经了解到,只有彻底改变解决问题的方法,才有可能生产出高质量的新产品。该方法与全面收集和分析IT基础架构中发生的所有事情的信息的思想相关联(对节点的配置进行分析,网络配置,对网络中正在发生的事情进行分析-即流量分析-以及在节点上进行的情况-即日志分析)。实际上,由于需要收集和分析日志,SIEM诞生了。在2015年进入市场的MaxPatrol SIEM成立5周年之际,我们决定讲述一个发展故事。
在2013年的一个项目中,我们需要的数据处理架构原理开始出现。收集,规范化,相关,存储。选择了MITER CEE(主体-动作-对象-状态)方法作为规范化的基础,这在当时看来是非常正确和有趣的。但是未来已经表明,现实事件并不总是完全适合CEE学术方法的Procrustean。
第一步和第一个错误
本段中将有许多难以理解的标题,但是我们决定告诉您全部事实,因此请予以接受:)
事件处理管道组件的第一个版本是用Python编写的,事件存储在MongoDB中。吞吐量仅为几百个EPS。 2014年,我们将开发中的工作与MaxPatrol X集成在一起。最后,我们切换到RabbitMQ作为数据交换总线-既在大型MaxPatrol X的组件之间,又在SIEM管道内。我们将数据收集任务的功能从执行扫描扩展到收集事件,并选择了Elasticsearch作为主要事件存储。开发了用于处理事件的单独子系统,该子系统已添加到系统中,用于收集,处理和存储事件,这使该项目更接近于传统SIEM系统。出现了第一组预安装的报告,标准的FastReport组件被用作“引擎”。这些报告中的某些报告仍在产品中提供。
- . Elasticsearch « », . Elasticsearch (2.x) , . , . , Elasticsearch. « » JSON . .
,
PoC 2015 , SIEM: , «» . . , , — . . .
( , ) SIEM . , , . , :)
, : « » , , . « » Redis PoC PT Network Attack Discovery, . «», network traffic analysis (NTA), asset management (AM), vulnerability management (VM) SIEM.
( , : Redis, MongoDB, MS SQL, Elasticsearch, PostgreSQL, InfluxDB). — - . 2015 2016 , , «» — , .
2016 12 (2.0). , , , , , , — «» , , ;) — . , SIEM-.
. , , . , - , « ». . , .
. , , Positive Technologies, . , ( , , ). SIEM, . (, !).
. , , . , , (, ). SIEM, (, , ), - (, , , , , , . .). , , , . , , , — . ( ) , . , . , , , , ArcSight ( HP, Micro Focus) IBM QRadar — 300–400. , , . , : « 300 , 20, "1C", "" ».
, MaxPatrol SIEM SIEM-. , , , , , , .
« »; 2016–2017 . 13–15 : , . Python ++, , , , . , (watchdog) .
16 . . SIEM 2015 , ArcSight ( Positive Hack Days 2016 300 ), IBM QRadar , . IT- Splunk, : IT-, SIEM, , , , ( , , , , Splunk ).
2017 , , , — , . , . Endpoint Monitor (Kernel Mode driver), sysmon. DPI (Deep Packet Inspection) PT Network Attack Discovery Network Sensor . PT MultiScanner, PT Network Attack Discovery, MaxPatrol SIEM . «» (. 1).
, . , . -, , 2018 — . 18 (4.0) 19 , . , . asset management . , : , . «» , , , . - .
MaxPatrol SIEM , SIEM ( ), — SIEM , . PHDays, , . , , SIEM- — 10–20% , , ( , ). — . ( ), , , , , SIEM- . , YARA- ? 2018 MaxPatrol SIEM . 2017-: - WannaCry, ( Git , ). NotPetya Bad Rabbit, , PT Expert Security Center -. PT ESC , , , - , , 2018 .
asset management — , , , , . - , ( firewall, , , , , ).
, 2018 PT Knowledge Base . , (. 2). , key value Redis , in-memory. , SIEM , , , .
, . TI- (threat intelligence) MS SQL PostgreSQL. very large enterprise , .
2019 21 (5.0) 21.1 , . , -10 SIEM- . 21.1 OEM- , SIEM, , . asset grids.
Solar JSOC. SIEM- , , . . , , , , , . 2019 . , , . MaxPatrol SIEM 23 .
, 2020 : , Elasticsearch 7.x, , , .
MaxPatrol SIEM , . , . : IDC, MaxPatrol SIEM, ArcSight QRadar 25% ( , 30%). . : , SIEM-, , , , , . .
: , Positive Technologies
, , , .