Процесс внедрения PT AF начинается с выбора оптимальной точки установки. Система может работать в режиме разрыва канала (inline), что позволяет активно блокировать атаки в реальном времени, или в режиме зеркального трафика (tap/monitoring) — для пассивного анализа без риска повлиять на продуктивный сервис.
На этапе запуска система работает в режиме обучения. Это ключевая фаза: PT AF не навязывает жёсткие политики сразу, а наблюдает за трафиком, выделяет закономерности, строит поведенческие модели. Это позволяет минимизировать ложные срабатывания, а также адаптировать защиту под реальные сценарии, а не под усреднённое представление о трафике.
После завершения обучения специалисты безопасности могут вручную скорректировать правила, задать ограничения, подключить реакцию на события (например, блокировку по IP или отправку инцидента в SIEM). PT AF легко интегрируется с экосистемой Positive Technologies, включая MaxPatrol SIEM, что позволяет выстраивать сквозной мониторинг и реагирование.
Особое внимание уделено гибкости управления. Через удобный интерфейс можно настраивать политики доступа, задавать правила фильтрации, анализировать логи в реальном времени, настраивать исключения и управлять поведением в зависимости от типа пользователей, регионов, времени суток и других факторов. PT AF поддерживает сценарии Blue/Green Deploy, может масштабироваться горизонтально, а также работает в высоконагруженных средах с балансировкой нагрузки.
Также система имеет REST API для автоматизации. Это особенно удобно в среде DevSecOps: можно включать WAF в пайплайны CI/CD, автоматически обновлять политики, тестировать правила безопасности вместе с новыми релизами приложения.