Обновленная система обнаружения аномалий R-Vision

Компания R-Vision представила обновление системы R-Vision UEBA – версию 1.16. В ней расширены сценарии детектирования, добавлен раздел «Профиль пользователя» для наблюдения за объектом, а также изменена визуализация таймлайна, чтобы ускорить сбор артефактов при расследовании.

Существенные изменения внесены в процесс работы с объектами наблюдения. В интерфейс добавлено новое окно – «Профиль пользователя», в котором ИБ-специалисты могут быстро получать детальную сводку по всем сессиям объекта наблюдения, анализировать их в одном окне, а также оставлять комментарии. Кроме того, хронология событий разделена на сессии, показ активности объекта наблюдения ограничен одними сутками. Для каждой сессии отображается широкий спектр данных о поведении пользователя за выбранный период времени: аномалии, сработавшие оповещения, учетные записи, оборудование и общий рейтинг. Теперь в сессиях группируются однотипные события ИБ, чтобы повысить информативность таймлайна и сделать его удобнее для анализа данных. Новые функции позволят ИБ-специалистам быстро формировать контекст расследования и сократить время на сбор артефактов.

В версии R-Vision UEBA 1.16 разработчики расширили возможности детектирования, добавив два новых программных эксперта – BruteForce и VPN Connections, которые включили в сценарии детектирования 15 новых аномалий. Программы помогают обнаружить сценарии перебора учетных данных пользователей (BruteForce) и факт множественного подключения VPN за короткое время с учетом геолокации (VPN Connections). Теперь аналитики могут выявлять основные угрозы в автоматическом режиме.

В обновленную версию также вошли следующие изменения:

• появилась возможность создавать виджеты – листы наблюдения для точечного наблюдения за объектами. В них можно внести объекты, которые требуют дополнительного внимания, чтобы контролировать происходящие события;
• добавлена глубокая интеграция с AD и расширенными возможностями API, благодаря которым доступна расширенная карточка объекта наблюдения;
• усилено взаимодействие с R-Vision Endpoint для оперативного получения необходимых данных и R-Vision SOAR для передачи более детальной информации об инциденте и реагирования на него.

Кроме того, R-Vision UEBA успешно прошла сертификационные испытания на соответствие требованиям к защите информации по 4-му уровню доверия ФСТЭК России. Теперь платформа может использоваться в государственных информационных системах до первого класса защищенности; информационных системах персональных данных до первого уровня защищенности; автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) до первого класса защищенности; на значимых объектах КИИ.