В реестре российского ПО появилась первая SIEM-система с искусственным интеллектом — MaxPatrol SIEM

Система мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM — первой среди других продуктов этого класса — была отмечена как решение, использующее технологии искусственного интеллекта.

«MaxPatrol SIEM — основа крупнейших SOC (security operations center) в России. Система оперативно выявляет попытки нарушения киберустойчивости компаний и инциденты ИБ, способные причинить неприемлемый ущерб бизнесу и целым отраслям экономики. Стремясь непрерывно повышать результативность продукта, мы интегрировали с MaxPatrol SIEM модуль поведенческого анализа, использующий машинное обучение и позволяющий обнаружить даже неизвестные угрозы, — комментирует Павел Гончаров, руководитель направления развития продуктов для мониторинга ИБ и управления инцидентами, Positive Technologies. — Теперь у нас есть официальное подтверждение того, что наша система содержит технологии искусственного интеллекта. Государственным организациям станет легче строить свою систему безопасности с использованием технологий ML, что поможет и повысить рейтинг цифровизации, и сделать шаг в сторону построения результативной кибербезопасности».

Встроенный в SIEM-систему Positive Technologies модуль поведенческого анализа — Behavioral Anomaly Detection (BAD) использует машинное обучение, снижая когнитивную нагрузку на аналитиков MaxPatrol SIEM и работая как система second opinion (второго мнения). Это позволяет быстрее принимать точные решения по инцидентам ИБ.

ML-модуль поведенческого анализа включает в себя порядка 30 моделей машинного обучения, разработанных на основе двадцатилетнего опыта Positive Technologies в расследовании инцидентов. BAD позволяет выявлять атаки с использованием тактик «Выполнение», «Организация управления», «Перемещение внутри периметра» из матрицы MITRE ATT&CK[1] и подтверждать срабатывания соответствующих правил корреляции.

ML-модуль собирает и анализирует данные о событиях, пользователях, процессах в контексте событий, а также присваивает поведенческим аномалиям определенный уровень оценки риска (risk score).

[1] База знаний с описанием тактик, техник и процедур атак злоумышленников.