PT Container Security

Основная статья: Security Information and Event Management (SIEM)

2026

Увеличение пропускной способности в 3,5 раза

Positive Technologies 30 января 2026 года представила обновленную версию продукта для защиты контейнерных сред PT Container Security — 0.9. Обновление позволило в 3,5 раза повысить производительность, сделать представление информации более наглядным, а также расширить возможности кастомизации за счет гибкого управления источниками событий рантайма.

В данной версии PT Container Security проверка событий рантайма оптимизирована за счет изменения алгоритма обработки событий. По результатам внутренних тестов, продукт обрабатывает в 3,5 раза больше событий в секунду, сохраняя потребление ресурсов на прежнем уровне. Усовершенствованная функциональность позволяет решению выдерживать большую нагрузку, сохраняя стабильную работу при пиковых показателях количества событий.

Комплект поставки PT Container Security включает лицензированный набор источников, которые позволяют отслеживать события на уровне отдельных контейнерных сред. Для наиболее точной работы продукта администраторы PT Container Security 0.9 могут менять существующие источники или добавлять новые, характерные для конкретной ИТ-инфраструктуры. Опция доступна при активации специального экспертного режима.

2025

PT Container Security 0.8 с публичным API для управления продуктом

Компания Positive Technologies 9 декабря 2025 года представила обновленную версию PT Container Security 0.8. Главное в релизе — публичный API для управления продуктом, расширение параметров в правилах реагирования, автоматическая генерация сертификатов для межсервисного взаимодействия, а также бесперебойное детектирование угроз рантайма даже при возникновении ошибки.

В версии 0.8 PT Container Security реализована возможность управлять продуктом не только через веб-интерфейс, но и с помощью публичного API. Для этого пользователю с токеном доступа достаточно отправлять запросы к API по протоколу HTTPS через скрипт или утилиты. Теперь оператор SOC может обрабатывать события мониторинга рантайма связанными инструментами, в том числе с помощью системы класса SIEM. Обновление также позволило автоматизировать создание правил для защищаемых кластеров по всей инфраструктуре компании.

Чтобы повысить удобство управления PT Container Security, мы реализовали широкий спектр параметров для каждого токена. Сотрудники службы ИБ могут задавать необходимый срок действия токена и список привилегий. Их можно максимально ограничить, например предоставив пользователю только право на чтение событий истории, — рассказал Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies. — Обеспечить безопасность позволяет возможность администратора единовременно отзывать все токены.

В данной версии PT Container Security поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма.

𝓲

Фото: PT

PT Container Security 0.8 получил дополнительные параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. Были добавлены такие параметры, как поды, контейнеры, образы из указанных репозиториев, репозитории и ноды для событий рантайма. Обновленные правила позволяют учитывать специфику проверяемых ресурсов и точнее реагировать на инциденты, снижая нагрузку на систему.Тренды и прогнозы в 1С 2026: от автоматизации к интеллектуальным системам 14.4 т

Теперь проверка события рантайма в PT Container Security продолжается даже при возникновении ошибки на одном из детекторов в цепочке. Оператор SOC может дополнительно изучить возникшие ошибки и список детекторов, через которые не удалось завершить проверку. Непрерывность анализа экономит время специалиста по ИБ, освобождая его от необходимости вручную искать причину остановки и повторно запускать проверку всеми детекторами.

Работа с сертификатами для обеспечения TLS-соединения между компонентами реализована инструментами Helm, сертификаты генерируются автоматически, что упрощает работу пользователя. По умолчанию они записываются в конфигурационный файл Helm-чарта values.yaml, однако сотрудники службы ИБ могут создать отдельный файл для хранения сертификатов.

Данная функциональность PT Container Security станет доступна пользователям после обновления продукта до последней версии.

Совместимость с платформой «Боцман»

Эксперты Bootsman.tech (входит в «Группу Астра») подтвердили корректную работу платформы контейнеризации «Боцман» в связке с PT Container Security – высокотехнологичным решением от компании Positive Technologies для комплексной защиты инфраструктуры гибридного облака. Совместимость продуктов подтверждена семью тщательными проверками, что отмечено сертификатом в рамках программы технологического партнерства ИТ-вендоров Ready for Astra. Об этом ГК Астра сообщила 12 сентября 2025 года. Подробнее здесь.

PT Container Security 0.7 с отдельной страницей событий рантайма

Positive Technologies 10 июня 2025 года выпустила обновленную версию продукта для защиты контейнерных сред — PT Container Security 0.7. Главное в релизе — мультикластерность, поддержка защиты всех кластеров в инфраструктуре из единой точки управления.

Теперь PT Container Security позволяет развернуть все агенты защиты — мониторинга рантайма, сканирования образов, admission controller, сканирования конфигураций — в защищаемых кластерах по всей инфраструктуре клиентов. Это дает возможность централизовать контроль безопасности контейнеров, снизить время реагирования на инциденты безопасности в контейнерах и значительно повысить удобство расследования и пост-анализа инцидентов специалистами SOC и отделов ИТ-мониторинга.

Архитектура мультикластерности PT Container Security позволяет инженерам и аналитикам SOC:

• подключать в каждом дочернем кластере только необходимые сенсоры безопасности и таким образом экономить вычислительные ресурсы;
• использовать внешние менеджеры очередей, СУБД конфигураций и хранилища событий, что снижает потребление ресурсов и уменьшает затраты на сетевую инфраструктуру сбора и обработки больших потоков событий;
• использовать общий механизм аутентификации для всех кластеров, для контроля доступа к чувствительной информации, обрабатываемой в системе.

Наш подход к организации процесса обработки данных от сенсоров и микросервисная архитектура позволяют построить оптимальную инфраструктуру безопасности мультикластерных сред контейнеризации, в которой пользователь получит лучшее соотношение потребляемых ресурсов к величине обрабатываемого потока событий безопасности, — отметил Михаил Бессараб, руководитель продукта PT Container Security.

В рамках версии 0.7 PT Container Security получил ряд функций.

1. Появились возможности, облегчающие для аналитиков SOC расследование инцидентов в рантайме. Добавлена отдельная страница события рантайма, на которой отображается вся информация о родителе и братьях процесса.
2. Реализована функциональность передачи в нотификации ссылки на событие, зарегистрированное сенсорами, для оперативного уведомления команд реагирования.
3. Оптимизирован движок поиска аномалий, что повысило производительность обработки больших потоков событий: в случае ошибки в одном из правил пайплайн выявления угрозы не останавливается, а продолжается для всех остальных правил.

Кроме того, для удобства инженеров развертывания в данном релизе появился графический пошаговый установщик, который позволяет удобно сконфигурировать скрипт установки PT Container Security для подключения дополнительных кластеров за считанные минуты.

2024: Возможности для поиска событий рантайма и проведения расследований инцидентов

Positive Technologies выпустили обновленную версию PT Container Security — продукта для защиты контейнерных сред. Главное в релизе — возможности для поиска событий рантайма и проведения расследований инцидентов, улучшение производительности за счет обновления рантайма WebAssembly (Wazero), детекторы рантайма, разработанные по итогам испытаний на киберполигоне Standoff, а также обновленная версия Tetragon, содержащая ряд улучшений движка мониторинга рантайма. Об этом компания сообщила 30 сентября 2024 года.

Согласно полевым испытаниям, PT Container Security способен обрабатывать поток в десятки тысяч событий в секунду и выше. Продукт поддерживает крупные высоконагруженные продакшен-кластеры без потери скорости, то есть может обеспечить безопасность инфраструктуры любого размера. При возрастании нагрузки PT Container Security можно масштабировать горизонтально, увеличивая количество реплик, либо вертикально, добавляя вычислительные ресурсы. Дополнительное улучшение производительности достигнуто за счет использования последних версий WebAssembly и Tetragon.

Технология WebAssembly позволяет разрабатывать детектирующие модули на языках программирования общего назначения и реализовать любую, сколь угодно сложную логику обнаружения в виде переносимого и кросс-платформенного байткода. Использование последних версий рантайма Wazero, который начиная с релиза 1.7 имплементировал оптимизирующий компилятор, ускорило работу каждого отдельного детектора на 30–35% без изменения исходного кода. Tetragon применяется в PT CS для обнаружения угроз в рантайме начиная с первой коммерческой версии продукта.

PT Container Security основан на самых актуальных технологиях. При помощи масштабирования наша команда разработки гарантированно обеспечивает стабильную работу решения при высоких нагрузках и с предельно возможной скоростью, — отметил Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies.

В рамках обновления PT Container Security получил новые возможности, облегчающие для аналитиков расследование инцидентов в рантайме:

• Контекстные фильтры. Позволяют быстро находить события, связанные с работой дочерних и родительских процессов, например запуск злоумышленником вредоносных утилит в скомпрометированном контейнере. Построены на наблюдениях и анализе реальных расследований, помогают простроить цепочку действий злоумышленников.
• Обычные фильтры. Помогают сфокусировать внимание на важных событиях, например, событиях, относящихся к конкретному поду в Kubernetes или связанных с определенными исполняемыми файлами.
• Пресеты для частых проверок, форматирование сырых событий и быстрые фильтры помогают специалистам по ИБ быстрее проводить расследование киберинцидентов в контейнерах. Позволяют не терять информацию и быстро возвращаться к любой точке расследования.
• Детекторы, разработанные вместе с экспертным центром безопасности PT Expert Security Center. За счет максимальной гибкости детекторы не требуют дополнительной настройки, объединяют сигнатурный и поведенческий подходы к обнаружению угроз в рантайме, предлагая гибридный вариант, объединяющий сильные стороны способов обнаружения. Набор детекторов постоянно пополняется.