Новые версии Security Vision UEBA и Anomaly Detection
Компания Security Vision сообщила о выпуске новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5. UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций. Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя различные модели и методики Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.
Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от популярных SIEM-систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux-устройств и рабочих станций. Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовать дополнительные интеграции с иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.
Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать новые правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента. В платформу также встроен движок правил корреляции, используя который можно настраивать правила любой глубины и сложности.
Все выявленные отклонения автоматически объединяются относительно объекта. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях. Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащение дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов.
Для работы с выявленными инцидентами и связанными объектами в продукте UEBA реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.
Для визуализации и получения отчетности в карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Ссылки на связанные объекты (устройства, учетные записи, процессы и др.) позволяют переходить на их карточки для получения дополнительных данных и анализа. Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей. Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.
По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др. Конструктор отчетности и дашбордов, встроенный в платформу, позволяет самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования внешних средств.
Продукт Security Vision Anomaly Detection обеспечивает пользователю множество преднастроенных и обученных моделей Machine Learning, которые существенно расширяют возможности детектирования аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.
В Anomaly Detection применяются различные методики ML, модели, обученные на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующие активности и выявляющие отклонения по различным комбинациям параметров, нейросети, учитывающие последовательность событий и их взаимосвязи и др. Результаты автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.
Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.
В Anomaly Detection встроены возможности применения «белых списков» для настройки исключений. Модели также автоматически учитывают срабатывания false-positive при последующем переобучении.