MaxPatrol SIEM + MaxPatrol BAD: AI/ML-модуль поведенческого анализа угроз

Positive Technologies разработала и интегрировала в флагманскую SIEM-систему MaxPatrol SIEM модуль MaxPatrol BAD (Behavioral Anomaly Detection) — AI/ML-компонент для поведенческого анализа событий информационной безопасности. Первая версия BAD с 30+ ML-моделями появилась в MaxPatrol SIEM 8.0 (октябрь 2023). К 2025 году модуль вырос до 49 ML-моделей, охватывающих активность процессов, сетевые подключения, доступы к файловым ресурсам и аномальные цепочки запусков. MaxPatrol SIEM позиционируется как первая SIEM-система с искусственным интеллектом в реестре российского ПО.

Классические SIEM-системы работают по правилам корреляции, которые не способны обнаруживать неизвестные ранее атаки и генерируют избыточное количество ложных срабатываний. Аналитики SOC перегружены потоком алертов и тратят время на проверку неактуальных событий вместо расследования реальных инцидентов. Целенаправленные APT-атаки, использующие легитимные инструменты (living-off-the-land), остаются невидимыми для сигнатурных правил.

• Обнаруживать нетипичное поведение в инфраструктуре, недоступное для сигнатурных правил

• Снизить когнитивную нагрузку на аналитиков SOC за счёт автоматической приоритизации алертов

• Обеспечить «второе мнение» (second opinion) с присвоением risk score каждому событию

• Сократить время от обнаружения до реагирования на инцидент

• Выявлять атаки по тактикам MITRE ATT&CK, в том числе «Выполнение», «Горизонтальное перемещение», «Управление и контроль»

• Финансы

• Результаты не раскрыты публично в денежном выражении

• Качественный эффект: снижение затрат на расследование инцидентов за счёт сокращения ложных срабатываний и ускоренной приоритизации Время

• Сокращение времени нахождения угрозы «вне фокуса» расследования — аналитик SOC быстрее сосредотачивается на критичных событиях

• Подсказки и дашборды цепочек процессов (MaxPatrol SIEM 8.6, 2025) ускоряют расследование инцидентов

• MaxPatrol SIEM 9.0 (сентябрь 2025): производительность системы выросла на 20%, обработка свыше 500 000 событий в секунду Качество и эффективность

• 90% алертов на атакуемой инфраструктуре правильно классифицированы MaxPatrol BAD как реальные атаки (внутренние тесты PT с участием операторов SOC, подтверждено независимо)

• 49 ML-моделей охватывают 8 категорий аномалий: активность процессов, сетевые соединения, именованные каналы, межхостовые связи и др.

• MaxPatrol SIEM детектирует 100% популярного хакерского инструментария APT-группировок (по состоянию на 2025 год)

• Минимизация ложных срабатываний через поведенческий risk score Нагрузка и масштаб

• MaxPatrol SIEM входит в топ SIEM-решений на российском рынке; развернут у сотен крупных заказчиков

• Одна из российских компаний — клиент MaxPatrol BAD — оперативно обнаружила источник нетипичных скриптов в инфраструктуре

• Другая компания использовала MaxPatrol BAD на киберучениях: SOC предотвратил реализацию недопустимых событий Надёжность

• MaxPatrol BAD работает как независимый второй эшелон обнаружения — даже при отсутствии срабатываний правил корреляции

• Сертификат ГосСОПКА; включён в реестр российского ПО

• ML-модели обучены на 20-летнем опыте PT в расследовании инцидентов Импортозамещение и compliance

• MaxPatrol SIEM — первая SIEM-система с ИИ в реестре российского ПО

• Полностью заменяет иностранные SIEM/UEBA (Splunk, IBM QRadar, Exabeam, LogRhythm)

• Сертифицирован для КИИ и госсектора; поддерживает требования ГосСОПКА Качественный эффект: MaxPatrol BAD переводит расследование инцидентов от ручного просмотра тысяч событий к автоматической приоритизации с объяснением контекста, что кардинально меняет эффективность SOC.