PT NAD обновился: выше производительность, ниже требования

Positive Technologies представила обновленную версию системы анализа сетевого трафика PT Network Attack Discovery (PT NAD), которая позволяет повысить устойчивость системы к пиковым нагрузкам без увеличения требований к аппаратному обеспечению. В релизе 12.1 основное внимание уделено поддержке актуальной версии хранилища данных Elasticsearch (8.13) и улучшениям для более удобной работы операторов и администраторов. В новой версии также добавлена темная тема интерфейса, что стало ответом на пожелания пользователей. Процесс развертывания и настройки PT NAD занимает менее 30 минут, что упрощает интеграцию системы в рабочие процессы.

Основное новшество заключается в поддержке Elasticsearch 8.13, которое позволяет системе выдерживать пиковые нагрузки, снижает требования к аппаратным ресурсам и ускоряет обработку запросов к метаданным сетевого трафика. Внутренние тесты показали, что использование новой версии хранилища снижает нагрузку на процессор вдвое, а требования к объему дискового пространства для метаданных также сокращаются в два раза. При этом максимальная скорость индексирования данных возросла в три раза.

Эти улучшения особенно полезны для крупных компаний, работающих с большими объемами сетевого трафика. Снижение требований к оборудованию позволит сократить расходы на его приобретение, так как одна установка системы сможет обрабатывать больше данных без увеличения затрат на развертывание.

Важные изменения коснулись и пользовательского интерфейса. Для упрощения администрирования системы часть конфигураций перенесена из консоли в веб-интерфейс. Теперь пользователи могут управлять SSL-сертификатами, добавлять доверенные корневые сертификаты и изменять сертификаты веб-сервера через удобный интерфейс. Также появились новые функции для проверки корректности настроек интеграции с внешними сервисами.

Интерфейс был адаптирован для операторов, занимающихся анализом инцидентов и расследованием атак. Обновленная карточка сессии теперь отображает всю информацию о зафиксированных индикаторах компрометации, что ускоряет процесс реагирования на инциденты. Операторам больше не нужно тратить время на поиск дополнительных данных — вся необходимая информация уже представлена в карточке события. Производительность ленты активности была оптимизирована, улучшена работа с исключениями для атак, выявляемых экспертными модулями, а создаваемые виджеты стали доступны для всех пользователей. Появилась возможность настраивать количество отображаемых строк в виджетах. Одним из ключевых нововведений стало визуальное отображение связей между узлами, участвующими в атаках типа NTLM Relay. В будущем планируется добавить визуализацию других сложных атак.