Обновление платформы R-Vision для обнаружения угроз
Компания R-Vision представила UEBA 1.14 – обновленную платформу для анализа поведения объектов и выявления аномалий. Платформа, ранее известная как R-Vision SENSE, с выходом версии 1.14 переименована в R-Vision UEBA. Смена названия отражает уровень продукта, функциональные возможности которого соответствуют требованиям решений класса User and Entity Behavior Analytics (UEBA).
В обновленный продукт внесен ряд значимых изменений. В частности, реализована интеграция с технологией R-Vision Endpoint, расширяющая возможности сбора данных с конечных устройств. В новой версии пользователям доступен более широкий спектр событий и телеметрии, получаемых из различных ОС, включая Windows, Linux и MacOS. Расширенный объем данных с конечных устройств обеспечивает аналитиков ИБ более качественными событиями для последующего изучения.
Ряд важных функциональных доработок внесен в карточку объекта, что обогатило ее дополнительной информацией. Теперь, помимо базовой информации, в карточке отражаются технические характеристики объекта, а также связанные с ним сущности. Благодаря этому можно быстрее получить доступ к объекту и полному контексту по нему, ускорив поиск причин аномалий.
Кроме того, в карточку объекта добавлена вкладка «Аналитика за сутки», в которой отображается изменение рейтинга, аномалии и задействованные устройства за последние 24 часа. При обнаружении объекта с высоким рейтингом аналитики ИБ могут с помощью одного клика просмотреть все действия пользователей за последние сутки и определить, являются ли они аномальными и требуется ли дальнейшее расследование.
Другие улучшения платформы связаны с расширением уже существующего списка атрибутов и новыми моделями данных, которыми дополнена R-Vision UEBA 1.14. Нововведение дает возможность получать больше контекста по событиям и проводить более детальный анализ при выявлении аномалий в корпоративной инфраструктуре.
Как отмечают в R-Vision, все улучшения, внесенные в платформу UEBA 1.14, направлены на то, чтобы обеспечить аналитикам ИБ возможность быстрого выявления аномалий. В частности, новая опция группировки идентичных событий в рамках функционала таймлайн помогает ускорить процесс обработки огромных объемов данных, определить, какие события имеют наибольшее влияние на безопасность предприятия, и принять меры по их предотвращению.