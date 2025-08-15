Positive Technologies продемонстрировала возможности AI/ML-модуля MaxPatrol BAD в обнаружении и расследовании киберинцидентов

Positive Technologies помогает аналитикам SOC оптимизировать рутинные задачи с применением средств автоматизации. Теперь AI/ML-модуль MaxPatrol BAD, интегрированный с системой мониторинга событий ИБ MaxPatrol SIEM, предоставляет визуальную информацию (дашборды) о поведении процессов, активов, пользователей, а также описывает контекст инцидента, объясняя последовательность сработки, что ускоряет выявление уникальных атак и расследование киберинцидентов специалистами по ИБ. Об этом CNews сообщили представители Positive Technologies.

Возможности MaxPatrol BAD были усовершенствованы в последней версии MaxPatrol SIEM — 8.6. Так, AI/ML модуль сейчас поставляет информацию о цепочках процессов, приведших к инцидентам ИБ. А системный дашборд, содержащий информацию о процессах и цепочках процессов, учетных записях, корреляционных событиях с наивысшей оценкой риска позволяет повысить скорость старта расследования инцидентов и расширяет понимание контекста события ИБ.

AI/ML-модуль в первую очередь сосредотачивает внимание аналитика SOC на наиболее подозрительных событиях ИБ, сокращая время их нахождения вне фокуса расследования. Так, согласно внутренним тестам с последующим расследованием с привлечением операторов SOC Positive Technologies, на потоке событий с атакуемой инфраструктуры 90% алертов от MaxPatrol SIEM были отранжированы MaxPatrol BAD как реальные атаки.

MaxPatrol BAD может также выступать как второй эшелон защиты, расширяя возможности MaxPatrol SIEM за счет поведенческого анализа. Способность AI/ML-моделей к обучению позволяет выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур. Одна из российских компаний, использующих MaxPatrol BAD, смогла с помощью модуля найти источник подозрительной активности, которая была связана с запуском нетипичных для организации скриптов. Другая компания в ходе киберучений использовала MaxPatrol BAD для обнаружения нелегитимных действий в инфраструктуре, что помогло SOC предотвратить реализацию недопустимых событий.

«Обновленная версия MaxPatrol BAD — это результат поступательной работы, которая началась в 2023 году, когда мы впервые представили AI/ML-технологию в MaxPatrol SIEM, и продолжается по сей день. В модуле соединились экспертиза специалистов Positive Technologies и data-driven подход, при котором решения принимаются на основе анализа данных. Сегодня MaxPatrol BAD можно смело назвать одним из самых зрелых AI/ML-решений на российском рынке, позволяющим реализовать адаптивную защиту инфраструктур организаций, — отметил Артем Проничев, руководитель по ML в MaxPatrol SIEM, Positive Technologies. — В MaxPatrol SIEM 8.6 модуль стал еще функциональнее и, что не менее важно, удобнее для пользователя. Кроме того, у MaxPatrol BAD появилась возможность горизонтального масштабирования, что позволяет использовать его в распределенных инфраструктурах».

В 2024 г. MaxPatrol SIEM вошла в реестр российского ПО в качестве первой системы с искусственным интеллектом среди продуктов своего класса. AI/ML-модуль в ее составе сводит к минимуму число ложных срабатываний.

Развертывание и запуск MaxPatrol BAD занимают до 1 часа — при наличии выделенной инфраструктуры и организованного сбора событий в MaxPatrol SIEM. Сам же модуль не требует регулярных обновлений или постоянной ручной донастройки. Автономные и адаптивные механизмы обучения начинают работать сразу после инсталляции, а первые релевантные результаты можно получить с первой недели использования.