MaxPatrol EDR

Основная статья: Security Information and Event Management (SIEM)

2025

Расширенные возможности для внедрения и для сбора данных

Positive Technologies 22 декабря 2025 года представила обновленную версию продукта для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR. Главное в релизе — совместимость с еще большим количеством популярных ОС, модуль сбора данных с конечных устройств под управлением Windows и расширенная поддержка ОС «Альт». Теперь продукт может работать самостоятельно[1], а также по-прежнему интегрируется с другими продуктами Positive Technologies. Помимо этого, в обновленной версии появились дополнительные сценарии для работы с событиями ИБ, а компании могут проверять файлы, используя собственные идентификаторы компрометации (IoC).

В обновленном MaxPatrol EDR расширена поддержка ОС «Альт». Теперь продукт работает на устройствах под управлением одной из последних версий «Альт Рабочая станция» и «Альт Сервер» — 10.4. Есть поддержка и других операционных систем: Debian 13 и Ubuntu 25.04, а также Windows Server 2025.

Данная версия MaxPatrol EDR может работать независимо от других продуктов Positive Technologies, что позволяет обеспечить защиту конечных устройств в условиях нехватки аппаратных ресурсов. Таким образом, продукт обеспечивает все схемы развертывания — и независимую установку, и интеграцию с другими продуктами Positive Technologies, а также со с сторонними SIEM-, SOAR- и IRP-системами.

Одно из важных направлений развития MaxPatrol EDR — обеспечение полной видимости конечных устройств, достичь которой помогают не только широкие возможности для сбора событий, но и их адаптация к особенностям организации, — рассказала Алена Караваева, руководитель направления защиты конечных устройств от целевых атак, Positive Technologies. — Теперь компании могут проверять файлы, используя собственные IoC. Обновление позволяет также проводить проверку в соответствии с индикаторами компрометации, например, из бюллетеней ФСТЭК, что является обязательным для субъектов КИИ.

Некоторые изменения в MaxPatrol EDR направлены на расширение возможностей мониторинга конечных устройств под управлением Windows. В частности, в продукте появился модуль для сбора данных, в основе которого лежит собственный инструмент Positive Technologies — PT Dumper. Он в автоматическом или ручном режиме собирает более 40 категорий данных. Используя эти сведения, компания может узнать о присутствии злоумышленников в инфраструктуре, провести внутреннее расследование инцидента или обратиться за помощью к экспертам Positive Technologies, предоставив доступ к архиву с информацией о конечном устройстве, который защищен паролем.

Теперь при установке агента на конечные устройства ИТ-специалисты могут оставлять для сотрудников подразделения ИБ текстовые метки с описанием устройства. Четкое представление о назначении каждого устройства помогает операторам SOC и MSSP-провайдерам качественно настраивать политики безопасности. Кроме того, теги могут быть использованы для поиска, фильтрации агентов и автоматического распределения их в группы.

Специалисты Positive Technologies продолжают усиливать безопасность MaxPatrol EDR. Теперь вместе с агентом EDR на конечное устройство под управлением Windows устанавливается драйвер самозащиты: пока он активирован, несанкционированно удалить агент или повлиять на его работу невозможно.

Особое внимание разработчики Positive Technologies уделили удобству взаимодействия с продуктом. Главное меню стало вертикальным и теперь располагается в верхней части экрана, интерфейс унифицирован с другими продуктами линейки.

𝓲

Фото: PT

Отображение в рабочей области большего объема данных, в том числе об агентах EDR, позволяет ускорить их анализ. Запустить командную строку теперь можно в один клик на любом этапе работы с продуктом, не открывая для этого дополнительное окно. Обновление позволяет оператору отправлять команды сразу нескольким устройствам, сохраняя в поле зрения всю необходимую информацию.

Добавленная функциональность станет доступна после обновления MaxPatrol EDR до версии 9.0.

MaxPatrol EDR 8.1 с возможностью отправлять файлы на конечные устройства

Positive Technologies 3 сентября 2025 года представила обновленную версию продукта для защиты конечных устройств от сложных и целевых атак — MaxPatrol EDR 8.1. Теперь аналитики центров мониторинга и реагирования (SOC) могут в три раза быстрее выполнять часть рабочих задач благодаря новому интерфейсу, дополнительным возможностям для цифровой криминалистики и проактивного поиска угроз. Кроме того, новый механизм отправки событий по протоколу syslog расширяет интеграцию продукта со сторонними системами.

В MaxPatrol EDR 8.1 полностью переработан интерфейс для ручного реагирования на инциденты. Вместо набора разрозненных инструментов у пользователя теперь есть единое окно для работы с ними. Объединение необходимых данных и функций в одном месте сокращает время реагирования, а поиск киберугроз и расследование инцидентов становятся удобнее. Так, встроенный браузер файлов и диспетчер процессов позволяют получать полную картину происходящего на конечном устройстве без использования сторонних утилит и переключения между несколькими источниками. Кроме того, в два раза был ускорен переход в веб-интерфейс других модулей.

MaxPatrol EDR — экспертный продукт, который мы продолжаем усиливать и развивать в разных направлениях. Для нас важно сохранять фокус на практической пользе, гибкости и бесшовной адаптации решения к инфраструктуре каждого клиента, поэтому мы прислушиваемся к их опыту и запросам. Так, в новой версии мы полностью переосмыслили интерфейс — решение повседневных задач стало более удобным и эффективным. Мы продолжим улучшать пользовательский опыт, чтобы команды SOC еще успешнее боролись с угрозами, — отметила Алена Караваева, руководитель продукта MaxPatrol EDR, Positive Technologies.

Теперь пользователи MaxPatrol EDR могут отправлять файлы на конечные устройства. Аналитики будут доставлять скрипты для тонкой настройки систем, конфигурации для восстановления работоспособности или обновления для устранения конкретной уязвимости. Данная функция позволяет оперативно перенастраивать рабочие станции прямо в ходе расследования инцидента без использования сторонних инструментов.

Ранее взаимодействие MaxPatrol EDR со средствами защиты информации от других вендоров было ограничено — клиентам приходилось тратить собственные ресурсы на разработку коннекторов. Теперь для бесшовной интеграции продукта в инфраструктуру заказчиков был реализован механизм отправки данных на syslog-сервер. Обновленная версия поддерживает несколько протоколов и форматов передачи событий безопасности, которые, по внутренним данным Positive Technologies, применяются более чем в 250 сторонних решениях. Таким образом, пользователи могут отправлять собранные EDR-платформой данные с конечных точек в системы SIEM, SOAR, IRP и другие для последующей обработки и анализа.

MaxPatrol EDR предоставляет гибкую настройку правил безопасности для разных групп агентов. В версии 8.1 эта возможность расширена: правила применяются автоматически в зависимости от местоположения устройства. При смене сети (при перемещении из офиса в командировку или домой) система сама определяет текущее окружение и активирует нужные параметры: например, строгие — для ненадежных сетей, стандартные — для корпоративных. От специалистов требуется только заранее настроить соответствие между сетями и группами политик. Такой подход повышает уровень защиты и избавляет команду ИБ от необходимости ручного вмешательства.

MaxPatrol EDR продолжает снижать нагрузку на конечные устройства: текущая версия стала на 6,6% оптимальнее предыдущей и на 24% по сравнению с началом года. Кроме того, продукт развивается в соответствии с подходом к результативной работе СЗИ и трендами рынка, готовясь к развертыванию в популярных средах виртуализации. В планах продолжить работу над усилением функции цифровой криминалистики, улучшением пользовательского опыта и повышением отказоустойчивости.

MaxPatrol EDR 7.2 с поддержкой 25 операционных систем

Positive Technologies представила обновленную версию продукта для выявления киберугроз на конечных устройствах и реагирования на них — MaxPatrol EDR 7.2. Теперь решение поддерживает в три раза больше операционных систем, распространенных в России: компании могут защищать конечные устройства на базе последних версий Windows, Debian, Astra Linux, «Альт», «Ред ОС» и других.

Эксперты Positive Technologies регулярно мониторят рынок и следят за появлением новых версий российских и зарубежных операционных систем, а также собирают статистику запросов на пилотные проекты и анализируют популярность различных ОС среди пользователей. Это позволяет оперативно внедрять в MaxPatrol EDR покрытие устройств на базе самого востребованного программного обеспечения.

Пользователи MaxPatrol EDR 7.2 могут выявлять угрозы на конечных устройствах под управлением более 25 операционных систем, среди которых Windows 11 и Debian 12. Кроме того, была реализована поддержка Ubuntu 22.04 LTS и 24.04 LTS. Согласно исследованию Stack Overflow, операционные системы Ubuntu занимают третье место по популярности среди разработчиков из разных стран мира.

Продукт теперь работает и с последними версиями отечественных систем: «РЕД ОС Рабочая станция» 8.0, Astra Linux Special Edition 1.8, «Альт Рабочая станция» 10.2 и «Альт Сервер» 9. Расширение поддержки ОС в MaxPatrol EDR поможет обеспечить надежную защиту конечных устройств госкомпаниям, которым было поручено с начала 2025 года перейти на российские ОС.

MaxPatrol EDR играет большую роль в реализации комплексных проектов защиты инфраструктуры. Для Positive Technologies важно, чтобы продукт мог защищать как можно больше конечных устройств в организациях. Именно поэтому мы в три раза увеличили поддержку операционных систем, распространенных на российском рынке, и планируем продолжить оперативно добавлять свежие версии ОС, — рассказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies. — Мы хотим, чтобы агенты EDR развивались и могли встроиться в инфраструктуру любой сложности, поэтому, помимо антивирусных технологий, в этом году особое внимание уделим повышению уровня отказоустойчивости, управляемости и качества установки.

В MaxPatrol EDR также расширился набор функций. Например, появился модуль изоляции узлов для Linux-систем, блокирующий сетевой трафик, а также модуль трассировки событий для Windows (ETW). Он позволяет получить расширенную информацию об активности в операционных системах и повышает качество обнаружения угроз. Специалисты Positive Technologies увеличивают возможности MaxPatrol EDR и за счет интеграции с другими продуктами. Теперь сотрудники подразделений ИБ могут добавлять исключения для правил корреляции с помощью табличных списков из MaxPatrol SIEM. Это позволит еще больше сократить количество ложных срабатываний правил.

Также продукт продолжает совершенствоваться в части реагирования на инциденты. В системе появился модуль, который удаленно выключает защищаемые продуктом рабочие станции. Это позволяет блокировать подозрительную или потенциально опасную активность и останавливать развитие атаки, если другие способы не помогают. Кроме того, специалисты по ИБ смогут самостоятельно перезагружать конечные устройства в случае необходимости установки обновлений для устранения уязвимостей.

2024

MaxPatrol EDR 7.0 с модулем конфигурирования параметров аудита операционных систем Windows

Positive Technologies выпустили обновленную версию продукта для выявления киберугроз на конечных устройствах и реагирования на них — MaxPatrol EDR 7.0. Об этом компания сообщила 13 ноября 2024 года. Обновление направлено в первую очередь на крупные организации с распределенной инфраструктурой. Система позволяет реагировать на инциденты из внешних систем с помощью API, выполнять действия на множестве агентов, добавлять собственные правила обнаружения, создавать и тиражировать пользовательские шаблоны политик безопасности. Также добавлена поддержка отказоустойчивой кластерной установки серверов управления. Все эти особенности позволят пользователям в десятки раз ускорить процессы реагирования на обнаруженные инциденты, а организациям — сократить операционные расходы на внедрение системы и ее масштабирование.

MaxPatrol EDR уже используется в крупных территориально распределенных ИТ-инфраструктурах. Учитывая запросы таких клиентов, их опыт отражения реальных атак и особенности внедрения инструментов ИБ, эксперты Positive Technologies усовершенствовали продукт, чтобы его применение было легким и удобным. Добавлены более эффективные преднастроенные политики обнаружения, а также возможность создавать шаблоны на основе собственных политик и тиражировать их между филиалами и отделениями организации. Появился модуль конфигурирования параметров аудита операционных систем Windows. Эти обновления позволят снизить трудозатраты на внедрение системы в крупнейших инфраструктурах и обеспечить централизованный процесс выявления злоумышленников, что особенно важно для клиентов, которые уже давно используют возможности мониторинга с помощью MaxPatrol SIEM.

Мы выпустили MaxPatrol EDR как отдельный продукт в октябре 2023 года, но технологии, лежащие в его основе, еще задолго до этого доказали свою эффективность. Учитывая то, что конечные устройства — одни из самых популярных точек проникновения злоумышленников в инфраструктуру, наша команда продолжает совершенствовать систему, с каждым обновлением повышая ее результативность, — сказал Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. — Например, добавление поддержки кластерной установки было одним из самых частых запросов клиентов. По нашим наблюдениям, сегодня десятки крупнейших компаний строят отказоустойчивые кластерные системы, которые суммарно обрабатывают миллионы событий в секунду. Теперь наш продукт позволяет обеспечить бесперебойную защиту конечных устройств в таких инфраструктурах.

Улучшить пользовательский опыт помогут и другие возможности MaxPatrol EDR. Так, обновленная версия позволяет реагировать на инциденты ИБ на множестве агентов. Например, если атаке подвергнутся два десятка устройств, специалисты смогут выполнить необходимые действия сразу на всей группе защищаемых устройств. При этом консоль позволит визуально контролировать статус этой активности на каждом устройстве и продолжать выполнение действий с выбранной группой, не прерываясь на повторный выбор агентов. Это поможет многократно сократить время реагирования (например, с десятков до считанных минут). Кроме того, выполнять действия на агентах теперь можно и из сторонних систем, для этого предусмотрен API реагирования.

Соответствие требованиям к четвертому уровню доверия и техническим условиям ФСТЭК России

Продукт для выявления киберугроз на конечных устройствах и реагирования на них MaxPatrol EDR подтвердил соответствие требованиям к четвертому уровню доверия и техническим условиям ФСТЭК России. Об этом разработчик решения сообщил 13 мая 2024 года. Документ официально свидетельствует о том, что продукт можно использовать для защиты конечных точек государственных информационных систем и значимых объектов критической информационной инфраструктуры (КИИ) самого высокого класса защищенности.

При сертификации средствам защиты информации присваиваются уровни доверия. Они определяют объем и виды испытаний, которые необходимо пройти для подтверждения соответствия требованиям ФСТЭК России. От этого параметра зависит перечень информационных систем, в которых могут использоваться продукты. MaxPatrol EDR сертифицирован по четвертому уровню доверия, что позволяет внедрять его в инфраструктуру организаций госсектора, финансовых, промышленных, транспортных компаний и других субъектов КИИ.

MaxPatrol EDR также проверялся на соответствие техническим условиям, которые определяют, какие функции защиты реализованы в ПО.

По данным об общемировых инцидентах ИБ, в 2023 году злоумышленники часто реализовывали недопустимые события на объектах критической инфраструктуры: 15% успешных атак пришлось на государственные учреждения, по 8% — на компании из сферы финансов, промышленности и ИТ, — сказал Юрий Бережной, руководитель направления по развитию защиты конечных точек Positive Technologies. — Использование вредоносного ПО и эксплуатация уязвимостей остаются основными методами хакеров. Нередко точкой входа злоумышленники выбирают именно конечные устройства: они крайне уязвимы, поскольку зависят от пользователей и позволяют применять разные векторы атак. Теперь MaxPatrol EDR поможет еще большему числу компаний на ранних этапах выявлять угрозы и оперативно реагировать на них прежде, чем злоумышленники успеют нанести недопустимый ущерб.

MaxPatrol EDR устанавливается на персональные компьютеры и ноутбуки сотрудников, виртуальные рабочие места и серверы. Автономные агенты защищают устройства удаленных сотрудников, а также те, которые находятся вне домена или не в сети. ПО поддерживает популярные ОС, в том числе сертифицированные российские. Благодаря правилам от экспертного центра безопасности Positive Technologies продукт выявляет современные угрозы, определяет топ-50 популярных тактик и техник злоумышленников для Windows-систем и топ-20 для Linux-систем по матрице MITRE ATT&CK. MaxPatrol EDR позволяет гибко настраивать правила реагирования на угрозы с учетом потребностей компании и предотвращать атаки как в ручном, так и в автоматическом режиме.

Включение в единый реестр российского ПО

Продукт для выявления киберугроз на конечных точках и реагирования на них MaxPatrol EDR, разработанный Positive Technologies, включен в единый реестр российского ПО. Об этом разработчик сообщил 18 января 2024 года.

По итогам первых трех кварталов 2023 года на организации госсектора пришлось наибольшее количество инцидентов ИБ — 15% от всех успешных атак. Число целевых атак растет из года в год и, по прогнозам Positive Technologies, 2024-й не станет исключением. Наиболее уязвимыми могут стать организации, активно обменивающиеся данными. В разных цепочках поставок у компании могут быть как контрагенты с защищенной инфраструктурой и выстроенной кибербезопасностью, так и со слабо развитой ИБ. В таких условиях организациям необходимо иметь надежную защиту конечных точек с современными механизмами обнаружения атак и устранять угрозы прежде, чем будут нарушены рабочие процессы.

MaxPatrol EDR уже на ранних этапах выявляет сложные и целевые атаки, которые развиваются на устройствах, а также собирает данные для организации расследований. Система проводит поведенческий анализ прямо на устройствах, использует экспертизу PT Expert Security Center и имеет гибкие настройки механизмов обнаружения и реагирования. Благодаря этому продукт оперативно находит киберугрозы, даже если действия злоумышленников замаскированы под легитимные. Набор разнообразных методов реагирования, предоставляемых на выбор операторам служб ИБ, покрывает большую часть мер защиты компании. MaxPatrol EDR поддерживает отечественные операционные системы, в том числе российские сертифицированные ОС, и системы Windows, macOS и Linux. Продукт может быть адаптирован к разным типам инфраструктур, за счет чего облегчает работу специалистов по ИБ.

Конечные точки все еще остаются удобными мишенями для проникновения злоумышленников в инфраструктуру. В качестве метода атаки хакеры часто используют вредоносное программное обеспечение: вирусы-шифровальщики, стилеры, вайперы, ВПО, модифицированное под конкретные ОС, — сказал Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак, Positive Technologies. — Злоумышленники непрерывно совершенствуют свои инструменты, поэтому традиционные средства защиты уже не способны точно выявлять угрозы. На смену им приходят более эффективные решения, относящиеся к классу endpoint detection and response (EDR). С их помощью можно получить полное представление о том, что происходит на конечных точках и вовремя обнаружить и устранить угрозы как в рамках внутреннего SOC, так и с участием провайдеров услуг по безопасности.

2023: Представление MaxPatrol ED

Компания Positive Technologies 9 октября 2023 года представила продукт для выявления киберугроз на конечных точках и реагирования на них — MaxPatrol EDR. Благодаря статическому и поведенческому анализу, экспертным правилам PT Expert Security Center (экспертный центр безопасности) и гибкой настройке правил обнаружения и реагирования, система выявляет сложные и целевые атаки в динамике. Это важно, когда злоумышленники маскируют свою активность в системе под легитимную. Кроме того, MaxPatrol EDR позволяет моментально останавливать вредоносные действия как вручную, так и автоматически.

Систему можно установить на персональные компьютеры сотрудников, ноутбуки, виртуальные рабочие места или серверы. Она поддерживает многие операционные системы (Windows, Linux, macOS), в том числе российские сертифицированные ОС. За счет экспертизы PT Expert Security Center MaxPatrol EDR выявляет различные виды атак, определяет топ-50 популярных тактик и техник злоумышленников для Windows и топ-20 для Linux-систем по матрице MITRE ATT&CK. Среди них — атаки с применением актуального вредоносного ПО, в том числе Agent Tesla, RedLine, njRAT, FormBook.

По данным исследований Positive Technologies, количество сложных и целевых атак в мире непрерывно растет. В частности, во II квартале 2023 года четыре из пяти кибернападений носили целенаправленный характер. Удобной мишенью для проникновения злоумышленников в инфраструктуру компаний до сих пор остаются конечные точки: в 90% успешных атак объектами были ноутбуки, стационарные компьютеры сотрудников, серверы. Киберпреступники используют их как «шлюзы» для подключения к корпоративной сети или бизнес-системам. Все чаще в таких атаках специалисты Positive Technologies отмечают применение новых хакерских техник и вредоносных программ (шифровальщиков, вайперов, а также специально созданного ВПО, модифицированного под определенные операционные системы), которые умеют обходить традиционные средства ИБ, установленные на компьютерах: антивирусы, системы защиты конечных точек (endpoint protection platform), узловые системы обнаружения вторжений (HIDS)).

Один из инструментов для противодействия сложным атакам — системы класса EDR. Они позволяют выявить действия злоумышленников, даже если использовались легитимные встроенные компоненты ОС (PowerShell, WMI, CMD, Bash), а следы присутствия скрыты. По результатам опроса, проведенного Positive Technologies, 14% российских компаний уже пользуются EDR- или XDR-решениями, 26% планируют такой проект и выбирают между системами нескольких производителей, а 30% понимают необходимость их приобретения, но пока им не хватает финансовых средств.

Среди сложностей в использовании продуктов для защиты конечных точек, представленных на рынке, опрошенные отметили отсутствие возможности гибко настроить глубину анализа, чтобы не перегружать узлы, большое количество ложных срабатываний, слабую поддержку операционных систем, а также низкий уровень обнаружения вредоносных программ.

По данным экспертного центра безопасности Positive Technologies, APT-группировки из разных стран применяют схожий инструментарий, однако использование различных комбинаций тактик и техник в постоянно меняющихся условиях осложняет их обнаружение. Налаживание новых торговых путей и экономических связей с другими государствами открывает двери для ранее неизвестного в нашем регионе вредоносного ПО и группировок с других континентов. Антивирусные программы и другие традиционные средства защиты конечных точек не готовы к таким угрозам и вряд ли смогут оперативно адаптироваться, — сказал Егор Назаров, руководитель по развитию направления защиты от комплексных атак Positive Technologies. — MaxPatrol EDR позволяет компаниям любого масштаба непрерывно защищать конечные точки на различных ОС. В отличие от классических EDR-решений, которые зачастую управляются оператором и не подразумевают обратной реакции при выявлении вредоносных действий, наша система обладает большими возможностями по своевременному реагированию на узлах, в том числе в автоматическом режиме.

MaxPatrol EDR теперь можно приобрести как самостоятельный продукт. Также он по-прежнему является частью PT XDR — комплексного решения для расширенного обнаружения угроз и реагирования на них, которое Positive Technologies выпустила в 2021 году.

Система поддерживает совместную установку с другими средствами защиты. Ее агенты могут работать автономно, то есть проводить анализ и противодействовать угрозам на конечных точках даже в изолированных сетях, без обращения к серверу. За счет автоматизации рутинных задач и процессов реагирования повышается эффективность работы центров противодействия киберугрозам, а специалисты по ИБ получают возможность экономить ресурсы и время на первичном анализе, расследовании, сборе данных и остановке атак. Освободившееся время они могут посвятить более сложным задачам, например проактивному поиску угроз, обнаружению и анализу уязвимостей и харденингу инфраструктуры.

Уже более 20 лет мы создаем собственные технологии и фокусируемся на том, чтобы специалистам по ИБ было удобно ими пользоваться. За счет гибкой настройки модулей обнаружения и политик MaxPatrol EDR хорошо адаптируется к разным типам инфраструктур и обеспечивает хороший баланс между нагрузкой на узлы и задачами SOC, — отметил Дмитрий Нагибин, руководитель департамента разработки средств защиты станций и серверов Positive Technologies. — В его основе набор проверенных технологий, которые доказали свою эффективность в других наших решениях. Например, от системы мониторинга событий ИБ MaxPatrol SIEM мы позаимствовали технологию хранения телеметрии и механизм корреляции и нормализации событий на конечных точках сети, от PT Sandbox — анализ файлов статическим и динамическим методами, от системы управления уязвимостями MaxPatrol VM — механизм сканирования окружения на уязвимые места.