Производительность MaxPatrol SIEM выросла на 20%

Команда MaxPatrol SIEM в 2025 г. решила сфокусироваться на повышении стабильности системы и удобства работы. Главные результаты — рост производительности на 20%, прорывной скачок в качестве детектирования киберугроз и повышение эффективности ML-модуля MaxPatrol BAD. Об этом CNews сообщили представители Positive Technologies.

Сильная сторона MaxPatrol SIEM, о которой говорят пользователи продукта, — детектирование актуальных киберугроз. Достигается оно за счет повышения количества и качества правил, поставляемых экспертным центром безопасности Positive Technologies (PT ESC). С 2022 по 2025 г. количество правил корреляции в продукте выросло в 3,5 раза — с 483 до 1,687 тыс.

Работа большого числа экспертных правил зачастую требует повышенного потребления вычислительных ресурсов. Чтобы нивелировать этот эффект, команда MaxPatrol SIEM внесла кардинальные изменения в схему взаимодействия компонентов — коррелятора, нормализатора, подсистемы обогащения — между собой. Новые версии конвейера обработки событий эффективнее утилизируют ресурсы на одном и том же потоке за счет оптимизации работы внутренних сервисов и использования новых архитектурных подходов. В результате комплексных изменений в последних версиях MaxPatrol SIEM 27.3(8.5) и 27.4 (8.6) снизились требования к центральному процессору (CPU) до 20%.

Внедрение механизма контроля и стабилизации потока событий (flow control) повысило стабильность и адаптивность MaxPatrol SIEM при пульсации нагрузки, что было критически важно для многих клиентов. Оптимизация сглаживания потока и автоматическая адаптивная подстройка потребления аппаратных ресурсов под поток приводят к тому, что MaxPatrol SIEM может обрабатывать большее количество событий в секунду (events per second – EPS) на том же «железе».

«Количество и сложность экспертных правил в MaxPatrol SIEM продолжают расти, при этом продукт работает стабильнее при тех же аппаратных характеристиках, — сказал Денис Лобанов, руководитель продукта MaxPatrol SIEM в Positive Technologies. — История развития MaxPatrol SIEM привела к тому, что нам необходимо изменить множество процессов в условиях архитектурной перестройки. То, что звучит просто на словах, по факту — результат колоссальной работы всей команды. И это только начало. Например, за год мы снизили в четыре раза количество открытых дефектов . При этом мы остаемся на острие кибератак и повышаем возможности продукта по их детектированию, в этом нам помогает ML-модуль MaxPatrol BAD. Также мы ведем работу по созданию AI-помощника, содержащего функционал по написанию правил нормализации (XPertise). Мы прикладываем все усилия, чтобы сделать лучший SIEM на рынке, и в первую очередь мы благодарны клиентам, которые делятся с нами обратной связью».

Помимо роста количества правил корреляций, изменился и сам подход написания экспертизы: контента в карточке события стало больше, а уровень детектирования актуальных киберугроз стал выше. Продолжает увеличиваться покрытие техник из матрицы MITRE ATT&CK. Сейчас MaxPatrol SIEM детектирует 100% популярного хакерского инструментария, который используют APT-группировки и хактивисты . Этого удалось достичь благодаря актуальной информации из проектов, которые проводят команды Incident Response и Red Team Positive Technologies. Эксперты расследуют кибератаки, анализируют новые инструменты злоумышленников. Вся информация находит отражение в MaxPatrol SIEM, который обогащается за счет ежедневной работы экспертного центра безопасности Positive Technologies. Благодаря тому, что PT ESC обнаруживает уязвимости нулевого дня и согласно принципам ответственного разглашения помогает вендорам их устранять, MaxPatrol SIEM детектирует опасные для российских компаний угрозы, которые не могут быстрее Positive Technologies обнаружить другие вендоры. Например, в августе 2025 года эксперт PT SWARM Никита Петров выявил критически опасные уязвимости в TrueConf Server. Эксплуатация цепочки обнаруженных недостатков могла привести к полной компрометации серверов видео-конференц-связи. MaxPatrol SIEM обнаруживает эти уязвимости с помощью правил, которые выявляют подозрительные процессы от веб-серверов на Unix и Windows.

Повысить покрытие актуальных киберугроз, приоритизировать их для аналитика SOC и тем самым сократить время нахождения специалистов вне фокуса расследования помог ML-модуль MaxPatrol BAD, интегрированный c MaxPatrol SIEM. Согласно внутренним тестам Positive Technologies, на потоке событий от атакуемой инфраструктуры 90% алертов MaxPatrol SIEM были правильно классифицированы MaxPatrol BAD как реальные атаки (результаты затем подтверждены операторами SOC). MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур.

По итогам всех нововведений повысилось удобство работы с продуктом, а также сократилась скорость реакции на киберинцидент. Сейчас аналитик SOC для расследования может использовать лишь информацию из карточки события в интерфейсе MaxPatrol SIEM, не обращаясь к внешним источникам. Новые экспертные правила поставляются в систему раз в две недели, для трендовых уязвимостей — в течение трех суток. Для сравнения, в 2024 году экспертные правила поступали раз в месяц.

«MaxPatrol SIEM видит все перемещения хакера в инфраструктуре: горизонтальное передвижение, разведку, захват домена, запуск шифровальщиков, эксплуатацию уязвимостей, фишинговые рассылки, повышение привилегий — каждый шаг. Продукту требуется минимум времени (до 10 минут), чтобы уведомить аналитика SOC о подозрительной активности, — сказал Кирилл Кирьянов, руководитель экспертизы MaxPatrol SIEM в Positive Technologies. — При условии, что аналитик вовремя среагирует на сработку в продукте, он может за считаные минуты заблокировать действия хакера и остановить кибератаку».