Что такое ManageEngine Malware Protection Plus?
ManageEngine Malware Protection Plus (MPP) — это антивирусное решение нового поколения (NGAV — Next-Generation AntiVirus), разработанное компанией ManageEngine (подразделение Zoho Corp., Индия) — крупнейшего разработчика корпоративных IT-инструментов с более чем 60 продуктами в портфолио для управления устройствами, безопасности, идентификации и сервисных операций.
В отличие от традиционных антивирусов, основанных на базах сигнатур, Malware Protection Plus использует искусственный интеллект и машинное обучение для обнаружения как известных, так и неизвестных угроз — включая нулевые дни (zero-day), бесфайловые атаки (fileless malware), программы-шифровальщики (ransomware) и продвинутые постоянные угрозы (APT).
Актуальная версия: 11
Продукт работает в двух режимах:
- Автономное решение — полноценная защита конечных точек как самостоятельный продукт
- Модуль Endpoint Central — интегрируется в платформу управления конечными точками ManageEngine Endpoint Central, объединяя антивирусную защиту с управлением патчами, контролем устройств и автоматизацией — единая консоль управления
Сертификат AV-Comparatives для корпоративной безопасности — независимая проверка эффективности обнаружения угроз.
Ключевые угрозы, против которых создан MPP
Традиционные антивирусы теряют эффективность против современных атак:
Полиморфное вредоносное ПО — изменяет собственный код при каждом распространении, обходя сигнатурные базы
Бесфайловые атаки (Fileless Malware) — выполняются исключительно в оперативной памяти через легитимные системные инструменты: PowerShell, WMI, LOLBins («жизнь за счёт земли»). Не записывают файлы на диск — невидимы для традиционного антивируса
Шифровальщики (Ransomware) — шифруют критические файлы в течение секунд после активации. Группировки Conti, REvil, LockBit и другие парализовали работу больниц, государственных органов и транспортных компаний
Нулевые дни (Zero-Day) — эксплуатируют уязвимости, для которых патчи ещё не выпущены
Атаки через память (In-Memory Attacks) — внедрение шеллкода и DLL-инъекции в легитимные процессы системы
Программы-шпионы и трояны — для похищения учётных данных, финансовой информации и промышленного шпионажа
Многоуровневая архитектура обнаружения
MPP применяет несколько механизмов обнаружения одновременно — для максимального охвата угроз:
1. Сигнатурное обнаружение (Signature-Based)
Традиционный метод сохраняет актуальность для обнаружения известного вредоносного ПО:
- База данных сигнатур для известных вредоносных программ
- ИИ-аналитика для выявления упакованных (packed) вариантов известных угроз
- Не требует ежедневных обновлений определений — ML-модели дополняют сигнатурную базу
2. Поведенческое обнаружение (Behavior-Based Detection)
Вместо поиска знакомых паттернов — анализ того, как ведут себя программы:
- Мониторинг API-вызовов, обращений к реестру, инъекций в процессы
- Отслеживание аномального сетевого трафика (массовый доступ к файлам, подозрительные соединения)
- Эталон нормального поведения — любые отклонения от него становятся сигналом тревоги
- Обнаружение угроз без необходимости видеть «нулевого пациента» (patient zero)
3. Глубокое обучение (Deep Learning)
Нейросетевые модели для предсказания угроз:
- Анализ сотен тысяч характеристик файла до его запуска
- Определение вредоносности без знакомства с конкретным образцом вредоносного ПО
- Непрерывное обучение — модели адаптируются к новым паттернам атак
- Эффективен как при онлайн, так и при офлайн работе устройства
4. Обнаружение в памяти (Memory Scanning)
Специализированный модуль для бесфайловых атак:
- Обнаружение шеллкода, инъекций DLL и полезных нагрузок в памяти
- Выявление атак LOLBins (Living-off-the-Land): злоупотребление PowerShell, WMI, certutil и другими легитимными системными утилитами
- Обнаружение атак через инъекцию в процессы (process injection)
- Защита от эксплуатации уязвимостей в реальном времени — остановка бокового перемещения (lateral movement)
Защита от шифровальщиков (Anti-Ransomware)
Отдельный модуль защиты, созданный специально против ransomware:
Детекция шифровальщиков
- Поведенческий детектор — шифровальщики характерно открывают множество файлов и заменяют их зашифрованными копиями; система обнаруживает этот паттерн в реальном времени
- Файлы-приманки (Decoy Files) — стратегически расставленные файлы-ловушки во всех папках конечной точки. При шифровании файлов-приманок — немедленная тревога и оповещение администратора
- Патентованная технология — менее 1% ложных срабатываний, что минимизирует «усталость от тревог» (alert fatigue)
Восстановление после атаки
- Защищённое от вмешательства резервное копирование (Tamper-Protected Backup) — шифровальщики не могут зашифровать или удалить резервные копии MPP
- Восстановление одним кликом — возврат файлов и системы к состоянию до заражения
- Критически важно против атак, которые намеренно уничтожают стандартные резервные копии перед шифрованием
Изоляция, локализация и реагирование
После обнаружения угрозы MPP выполняет автоматизированные и управляемые действия по реагированию:
Сетевая изоляция (Network Quarantine)
- Автоматическое отключение заражённого устройства от корпоративной сети
- Прекращение бокового распространения угрозы — другие конечные точки защищены
- Возможность немедленной разблокировки для авторизованных администраторов
Завершение вредоносных процессов
- Принудительная остановка процессов, идентифицированных как вредоносные
- Нейтрализация бесфайловых атак, выполняющихся в памяти
Карантин файлов
- Перемещение обнаруженных вредоносных файлов в изолированное хранилище
- Возможность восстановления при ложных срабатываниях
Удалённое расследование и реагирование
- IT-команды дистанционно исследуют и устраняют угрозы на заражённых конечных точках без физического присутствия
Форензика и анализ угроз (Threat Intelligence)
Ключевое преимущество MPP перед традиционным антивирусом — возможность расследования после инцидента:
Деревья процессов (Process Trees)
- Визуальная диаграмма всей цепочки атаки: от первоначального вектора проникновения до привилегированного эскалации и бокового перемещения
- Контекстуальная видимость: API-вызовы, изменения реестра, инъекции, сетевые соединения — объединены в единую картину атаки
- Вместо тысяч разрозненных тревог — единая высококачественная история атаки
Маппинг на MITRE ATT&CK
- Тактики, техники и процедуры (TTP) злоумышленника автоматически сопоставляются с фреймворком MITRE ATT&CK
- Администраторы видят не просто «вредоносный файл», а полную тактическую картину: первоначальный доступ → закрепление → боковое перемещение
- Позволяет прогнозировать следующие действия атакующего
Индикаторы компрометации (IOC)
- Автоматическое выявление IOC по итогам инцидента
- Экспорт IOC в SIEM через Syslog или JSON — для корреляции атак в масштабах всей инфраструктуры
- Использование IOC для превентивной защиты от повторных атак
Движок данных об эксфильтрации данных (Data Exfiltration Engine)
- ML-аномалии для выявления попыток кражи данных
- Обнаружение аномального поведения при копировании, передаче или загрузке данных
Интеграция с Endpoint Central
MPP максимально эффективен в составе платформы ManageEngine Endpoint Central (ранее Desktop Central):
- Единая консоль — управление патчами, контроль устройств, антивирусная защита, управление приложениями без переключения между инструментами
- Использует существующий агент — Endpoint Central агент уже установлен; дополнительный агент для NGAV не требуется
- Активация за минуты — функции NGAV доступны сразу после включения, без сложного развёртывания
- Patch Management — MPP обнаружил уязвимость? Endpoint Central автоматически применяет патч к затронутым системам
- Device Control — контроль USB-устройств, предотвращение вектора заражения через съёмные носители
Лицензирование и цены
| Уровень | Условия | Цена |
|---|---|---|
| Free Edition | До 25 конечных точек, полный функционал | Бесплатно |
| Enterprise Edition | Без ограничений по числу конечных точек | От $745/год за 50 рабочих станций |
Free Edition на 25 конечных точек — не пробный период, а постоянная бесплатная лицензия с полным функционалом. Идеально для небольших площадок или тестирования перед масштабным развёртыванием.
Пробный период — 30-дневная пробная версия всех функций доступна непосредственно через Endpoint Central.
ManageEngine MPP vs конкуренты
| Функция | ManageEngine MPP | CrowdStrike Falcon | Microsoft Defender for Endpoint | Sophos Intercept X |
|---|---|---|---|---|
| NGAV (ИИ + поведение) | ✅ | ✅ | ✅ | ✅ |
| Бесфайловые атаки | ✅ | ✅ | ✅ | ✅ |
| Защита от шифровальщиков | ✅ + откат файлов | ✅ | ✅ | ✅ + откат |
| Файлы-приманки (Decoy) | ✅ | ❌ | ❌ | ❌ |
| MITRE ATT&CK маппинг | ✅ | ✅ | ✅ | ✅ |
| IOC экспорт (Syslog/JSON) | ✅ | ✅ | ✅ | ✅ |
| Интеграция с UEM (патчи + контроль) | ✅ Endpoint Central | Ограниченно | ✅ Intune | Ограниченно |
| Бесплатная версия (25 устройств) | ✅ | ❌ | Входит в M365 | ❌ |
| Облако + On-Premise | ✅ | Только облако | Облако + On-prem | Облако + On-prem |
| Поддержка Windows | ✅ | ✅ | ✅ | ✅ |
| Поддержка macOS/Linux | ❌ (только Windows) | ✅ | ✅ | ✅ |
| Цена (50 устройств/год) | $745 | ~$8 000+ | Входит в M365 E5 | ~$3 500+ |
ManageEngine MPP — правильный выбор, если: ваша организация уже использует ManageEngine Endpoint Central; вам нужно объединить управление патчами, контроль устройств и антивирусную защиту в единой консоли; вы управляете преимущественно Windows-инфраструктурой и ищете экономически эффективную альтернативу дорогостоящим EDR-платформам.
CrowdStrike / Microsoft Defender — если: требуется кросс-платформенная поддержка (macOS, Linux), или вы уже глубоко интегрированы в Microsoft 365 E5.
Системные требования
| Компонент | Требование |
|---|---|
| ОС (агент) | Windows 8, 8.1, 10, 11; Windows Server |
| macOS/Linux | Не поддерживаются в версии MPP |
| Агент | Существующий агент Endpoint Central (не требует нового агента) |
| Развёртывание | Облако или On-Premise (сервер Endpoint Central) |
| Ресурсы агента | Менее 1% пропускной способности системы |
Часто задаваемые вопросы
Может ли ManageEngine MPP работать совместно с существующим антивирусом? Да. MPP разработан для сосуществования с традиционными антивирусными решениями — он дополняет существующую защиту, не конфликтуя с ней. Это позволяет поэтапно переходить от устаревшего антивируса к NGAV.
Поддерживает ли MPP macOS и Linux? По состоянию на 2025 год — нет. ManageEngine MPP поддерживает только устройства Windows (Windows 8, 8.1, 10, 11 и Windows Server). Для macOS и Linux потребуется отдельное антивирусное решение.
Нужно ли устанавливать дополнительный агент? Нет. Если Endpoint Central уже развёрнут в организации, существующий агент поддерживает функции NGAV без установки дополнительного ПО на конечные точки.
Что произойдёт, если конечная точка отключена от сети во время атаки? MPP работает автономно — основные AI-модели выполняются непосредственно на конечной точке, обеспечивая защиту даже при отсутствии интернет-соединения. Устройство остаётся защищённым независимо от статуса подключения.
Входит ли MPP в стандартную лицензию Endpoint Central? Нет. Malware Protection Plus является дополнительным модулем (add-on) к Endpoint Central и не включён в базовую или Security Edition лицензию. Приобретается и активируется отдельно.
Итог
ManageEngine Malware Protection Plus 11 — это экономически эффективная NGAV-платформа на базе ИИ, выходящая за рамки традиционного антивируса: глубокое обучение для предсказания угроз без сигнатур, поведенческий анализ для обнаружения бесфайловых атак, файлы-приманки для мгновенного обнаружения шифровальщиков, откат файлов одним кликом, форензика с MITRE ATT&CK-маппингом — и всё это интегрировано с инструментами управления конечными точками ManageEngine в единой консоли.
Бесплатная лицензия на 25 конечных точек делает MPP доступным для оценки без финансовых рисков.
По вопросам лицензирования обращайтесь в Telegram: t.me/DoCrackMe
Смотрите также: ManageEngine Endpoint Central — управление конечными точками для предприятий | ITVDesk ONVIF — контроль рабочих мест через видеонаблюдение | Защита корпоративных конечных точек: сравнение EDR-решений
