Positive Technologies обновила NTA/NDR решение PT NAD до версии 13
Positive Technologies выпустила PT NAD версии 13.0 — обновление продукта для анализа сетевого трафика и обнаружения кибератак. Новая версия развивает продукт как систему для работы с инцидентом на всём его протяжении: от обнаружения угрозы до сдерживания и последующего анализа.
Одним из ключевых нововведений версии 13.0 стало автоматизированное реагирование. Теперь непосредственно из консоли PT NAD можно выполнять действия по сдерживанию угрозы — например, изолировать узел или заблокировать учётную запись. На текущем этапе функция реализована через интеграцию с MaxPatrol EDR. Это сокращает путь от момента обнаружения угрозы до начала активных действий и снижает необходимость переключения между несколькими системами, что особенно актуально для небольших команд безопасности.
Вторым значимым изменением стало появление облачных детектов. PT NAD по-прежнему функционирует как on-premise-решение, однако в версии 13.0 получает возможность дополнительного анализа в облачной инфраструктуре Positive Technologies. Облачный контур обогащает обнаруженные в трафике события данными threat intelligence, сведениями об IP-адресах и доменах, а также статистикой срабатываний в других инфраструктурах. Это позволяет точнее разграничивать реальные угрозы и ложные срабатывания, снижая нагрузку на аналитиков SOC. Более широкий охват детектирования при этом упрощает прохождение аудитов и подтверждение уровня защиты перед регуляторами без необходимости приобретать дополнительное оборудование.
В версии 13.0 также изменился подход к долгосрочному хранению метаданных. Вместо Elasticsearch продукт теперь поддерживает хранение в S3 и других сетевых хранилищах, что снижает стоимость содержания исторических данных. Доступ к расширенному архиву метаданных позволяет использовать историю трафика в расследованиях, проверять гипотезы, восстанавливать контекст прошедших инцидентов и корректировать правила детектирования. Для крупных организаций и госструктур долгосрочное хранение данных также помогает выполнять требования регуляторов в части ведения архивов.
Релиз включает и развитие базовой сетевой экспертизы. В продукте появилось ML-детектирование современных VPN-протоколов, применяемых для обхода средств мониторинга. Кроме того, расширены интеграции с sandbox-решениями, включая сторонние продукты, что обеспечивает более глубокий анализ подозрительных объектов и расширяет сценарии расследования инцидентов.