Positive Technologies MaxPatrol SIEM

确保大公司的安全是一项需要特别关注的艰巨任务。当一家公司的各个办公室和各个部门有不同的
安全成熟度时，攻击者只需将集中对付保护最薄弱的办公室和部门就可以成功。各种系统不断受到
网络探测和攻击的威胁。许多公司甚至政府都在投资于获取竞争情报和网络攻击的能力。正如伊朗
布什尔核电站的震网事故所证明的那样，即使是通过空气间隙进行物理隔离也不能保证完全安全。
一次攻击就可能对各种系统和整个公司造成无法弥补的损害。
2014 年，由 Positive Technologies 在俄罗斯各大公司中进行的一项调查显示，网络安全事故给 其中一半以上的公司带来了重大问题:

 

​​​​​​​

尽管 SIEM 解决方案已经确定了自己的地位，但它们并没有成功地实际提高公司的事故响应能力。 其原因是在大公司实施 SIEM 解决方案时会有一些基本困难:

🔥 大量不同的源。SIEM 汇集了来自大量不同源的数据。为了最大限度地增加受支持的 源的数量，SIEM 开发人员通常采取简单的方法:导入事件通知，而不将这些通知转 换为一致的格式。结果，由不同设备生成的相同事件的通知被转换为具有不同字段集 的不同格式，使得开发关联规则的任务耗费大量时间。

🔥 集成选项有限。分析来自各种源的信息对于识别发生的事故非常重要。例如，为了确 保对攻击做出有意义的响应，IDS/IPS 警告需要与漏洞扫描和各种清单相关联。然 而，将现有 SIEM 解决方案与安全扫描程序、CMDB 和应用程序平台集成的选项极其 有限。

🔥 缺少有资质的人员。开发关联规则的复杂性需要有高资质的运维人员。在实践中，集 成商帮助实施和配置最初的一组 SIEM 规则后，公司会发现自己无法让系统适应基础 架构的持续变化。

🔥 实施和扩展的复杂性。即使在设计和实施阶段也会出现重大困难。一家大型现代公司 或政府机构通常有许多远程部门和办公室通过低速连接与总部相连。这些公司由于连 接速度低，并且无法升级连接，所以无法集中收集审计数据，而如果在每个部门和办 公室分别部署 SIEM 系统，则意味着成本更高。

🔥 低水平的自动化意味着在系统操作(例如，事件处理:筛选、聚合、关联)方面花费额外的时间和资源，以及对威胁的响应发生延迟或者不响应。

因此，尽管现有的 SIEM 解决方案提供了大量重要功能，但现实是，公司只能利用其中一小部分潜 能。这些缺点激励我们在开发 MaxPatrol SIEM 时找到更好的方法。

​​​​​​​MaxPatrol SIEM 结合了收集、处理和存储大量数据的最新趋势。Positive Technologies 在开发 该解决方案时，利用了其在以下领域的丰富经验:
• 与各种设备和信息系统的远程连接
• 用于获取信息系统事件数据的多种远程管理协议
• 分析信息系统的基础架构和运维逻辑
• 外部和内部攻击机制和算法
• 开发和实施各种信息安全流程
• 对发生影响较大的事件时安装信息安全运维控制中心
• 对有数万名员工的组织中复杂安全事故的调查
本系统的一个显著特点是能够在单个 MaxPatrol X 平台下将安全分析系统、企业数据资产管理以及 事件监控和关联结合在一起，与同类产品相比，大大降低了响应时间，提高了产品效率。

对于每个试点项目，Positive Technologies 都会指派一名专职专家，其职责包括: • 在客户现场部署 MaxPatrol SIEM 期间提供支持
• 在设置 MaxPatrol SIEM 期间提供支持
• 就与 MaxPatrol SIEM 运维相关的问题向客户的专员提供建议 
Positive Technologies 客户的专员通过电话、电子邮件和安全的远程访问工具进行互动和交流。