Обновление технологии R-Vision SIEM
Компания R-Vision представила новые функциональные возможности технологии R-Vision SIEM, что должно усовершенствовать работу с поступающими событиями ИБ. В версии 1.3 расширен набор функций для сбора и обработки событий, внедрены новые инструменты для работы с контентом и поиском. Кроме того, добавлены конструктор отчетов и новые способы интеграции с внешними системами.
В новой версии SIEM-системы R-Vision эксперты компании расширили функциональные возможности конвейера обработки событий, который позволяет аналитику SOC в графическом интерфейсе управлять функционалом сбора обработки данных. К уже доступным точкам входа и выхода, шинам и нормализатору событий добавлены новые элементы: агрегатор, маршрутизатор и фильтр. Это позволяет максимально вариативно настраивать работу с событиями, что особенно актуально при наличии большой инфраструктуры источников и систем.
Изменения коснулись и работы с объектами экспертизы. Каждый такой объект – это контентная часть продукта, которая содержит в себе экспертизу по обработке и анализу событий ИБ (правила нормализации и корреляции, активные списки, таблицы обогащения, а также модели событий). Разработчики усовершенствовали процесс подготовки объектов экспертизы, добавив новые функции. Теперь ИБ-специалисты, помимо создания и изменения собственных правил, могут копировать и удалять элементы экспертизы, включать, выключать и обновлять используемые правила, использовать шаблоны и версионирование. Улучшен функционал валидации и тестирования правил, который помогает сотрудникам SOC проводить дополнительные проверки результативности разработанных ими правил в тестовой системе. Это позволяет избежать ошибок при подготовке контента и предварительно оценить его эффективность, что, в свою очередь, снижает количество ложных срабатываний при их запуске и обеспечивает быстродействие системы.
В R-Vision SIEM 1.3 добавлены новые функции инструмента поиска: подсветка синтаксиса, подсказки к запросам, которые формируют аналитики SOC, быстрые фильтры прямо из событий ИБ, интерактивный прогресс-бар и график распределения событий. Реализована поддержка всех ключевых функций запросов в базах данных, за счет чего аналитик сможет быстрее найти необходимые события в потоке поступающих данных.
Важным нововведением стало добавление в систему конструктора отчетов, который упрощает процесс предоставления отчетности. Конструктор помогает аналитику SOC создавать шаблоны отчетов и отправлять их в соответствии с установленным графиком.
Существенные изменения произошли в работе с внешними системами. Так, в версии 1.3 для аналитиков SOC был добавлен активный сбор событий из различных баз данных и по протоколу HTTP. Расширены также интеграционные возможности, которые, в частности, помогают быстро перейти в интерфейсы систем R-Vision SOAR, Endpoint и UEBA. Это позволяет собирать больше событий из различных систем и автоматически передавать инциденты для реагирования в SOAR.