R-Vision представил обновление системы управления событиями информационной безопасности — R‑Vision SIEM 2.5.
Свежие релизы сфокусированы на расширении аналитических возможностей, внедрении активного реагирования на агентах, а также повышают удобство работы пользователя через встроенную оценку покрытия MITRE ATT&CK прямо в интерфейсе продукта.
Оценка покрытия MITRE ATT&CK
Одним из ключевых нововведений стал раздел «Покрытие MITRE ATT&CK», который наглядно показывает, какие техники и подтехники фреймворка обнаруживаются установленными правилами детектирования. Это позволяет специалистам по информационной безопасности оперативно оценивать полноту защиты и планировать развитие системы детектирования с фокусом на наиболее критичные векторы атак.
Активное реагирование на агентах
Вендор продолжает развивать возможности централизованного управления конечными устройствами. В интерфейсе продукта появилась возможность выполнять действия активного реагирования для подключённых конечных станций:
- удалять подозрительные файлов;
- выполнять самоизоляцию узла;
- осуществлять остановку процессов;
- отправлять файлы;
- добавлять или удалять записей в hosts для блокировки или разблокировки доменов и IP-адресов с использованием техники DNS Sinkholing.
Это расширяет сценарии оперативного реагирования и помогает аналитикам SOC быстрее пресекать угрозы.
Расширенные аналитические инструменты
В обновлении значительно улучшен пользовательский опыт аналитика при работе с событиями.
- Найденные события теперь можно добавлять в «Избранное», чтобы собрать все ключевые данные. Такой инструмент помогает аналитику собирать все артефакты расследования в одном месте и при необходимости быстро к ним возвращаться.
- Реализована функция «Сравнение событий» — система подсвечивает отличия между эталонным и текущим событием с точностью до строки/ слова/символа.
- В разделе «Поиск» теперь можно в один клик формировать виджеты через кнопку моментального создания и сразу визуализировать полученную статистику.
- Управление отображением данных на дашбордах и отчетах стало гибче благодаря поддержке переменных. Переменные для дашборда позволяют централизованно задавать параметризируемые поля для каждого виджета, благодаря чему достаточно изменить одно значение — и весь дашборд обновляется автоматически, что существенно ускоряет анализ данных и настройку визуализаций.
Универсальная модель события 2.0
В последней версии R-Vision SIEM представлена новая Универсальная модель события 2.0, построенная по принципу субъектно-объектного описания событий. Такая структура упрощает процесс нормализации событий для инженера и одновременно повышает консистентность и облегчает интерпретацию событий для аналитика. Благодаря этому инженеры быстрее создают правила обработки событий, а аналитики получают более понятные и структурированные события для расследований и мониторинга.
Кроме того, модели событий теперь поддерживают динамические поля, содержащие структурированные данные типа JSON — обращаться к ним можно как к полю целиком, так и к вложенным объектам и массивам через RQL-запросы.
Дополнительные улучшения
- Сбор событий из файлов: добавлены точки входа FTP и SMB для мониторинга изменений и сбора событий с удалённых ресурсов.
- Аудит записей активных списков: теперь система фиксирует все операции пользователей и правил корреляции над записями активных списков, создавая события аудита, которые можно повторно использовать для корреляции и дальнейшего анализа.
- Определение источников по маске: в политиках аудита источников реализована возможность идентифицировать группы источников по набору полей события, без привязки к точкам входа и конвейерам. Это позволяет более гранулярно идентифицировать источник для наблюдения.
Виктор Никуличев, Руководитель продукта R‑Vision SIEM:
В фокусе последних релизов R-Vision SIEM — создание единой среды, в которой аналитик может не только исследовать события, но и мгновенно действовать. Мы развиваем инструменты анализа, визуализации и активного реагирования, делая работу SOC-команд быстрее, прозрачнее и эффективнее.
Источник: rvision.ru