Этот комплекс состоит из аппаратной и программной составляющей основного продукта MaxPatrol SIEM, но не обладает широкими возможностями масштабирования, распределенной конфигурацией, не поддерживает расширение лицензий на Scanner и LogCollector и рассчитан на количество подключаемых машин 250 до 1000. Главное достоинство продукта в минимализме, в возможности эксплуатировать корпоративный SIEM, обеспечивая безопасность пропорционального бизнеса с наименьшими затратами.
Решение в отличие от базовой версии включает физическое оборудование «из коробки». Выдающиеся характеристики, в частности, высокую производительность, продукту гарантируют непрерывная актуализация модели IT-инфраструктуры и трансфер профессиональной экспертизы от подразделения разработчика Positive Research.
Особенности и преимущества продукта
Будучи инновационным решением, SIEM LE реализует новейшие методы обнаружения в области безопасности и киберугрозы, затрачивая минимальное количество ресурсов. Модель IT-инфраструктуры перманентно аккумулирует сведения об инцидентах ИБ, результатах сканирования файловов и исследования трафика в инфрасети.
Точная модель позволяет выстраивать корреляционные правила, которые относятся не к выборке IP-адресов или последовательности хостов, а к сложным и динамическим программно-аппаратным совокупностям. В следствие такого подхода даже при изменении конфигурации IT-инфраструктуры однажды созданные правила остаются актуальными.
Кроме того, в компонентах SIEM LE лежат единообразные методики и нормы накопления и фиксации информации. Все элементы структуры такие как блоки сбора и исследования трафика, инструменты менеджмента уязвимостей, моделирования атак и поведения вредоносного ПО разрабатывались комплексно.
На базе созданной модели IT-инфраструктуры строится топология сети, в которой конфигурация сетевого оборудования учитывается безотносительно к производителю. Такой подход гарантирует глубокое понимание объекта защиты, степень подверженности угрозам и оперативность установления причин инцидентов ИБ.
Для продуктивной работы с MaxPatrol SIEM LE не нужен штат сотрудников, понадобится один специалист: многие процедуры администрирования автоматизированы, правила корреляции в большой степени инвариантны, структура платформы подчиняется единой логике, необходимый комплекс средств доступен в рамках одного интерфейса.
При развертывании SIEM LE на любой IT-инфраструктуре разработчик без каких-либо вложений сверх стоимости продукта подключает актуальные источники данных, производит перенос с текущих SIEM-систем и оказывает техническую поддержку.
В рамках решения предлагаются три варианта лицензии: на 250, 500 и 1000 узлов сети. Переход между этими версиями возможен посредством последовательного перехода на лицензии следующего уровня. При потоке в 3 тысячи EPS период оперативного размещения на встроенных накопителях составляет до половины месяца, а с дополнительной опцией в архивном режиме – до половины десятилетия. Аппаратная платформа поставляется с гарантией сроком на 5 лет.
