Аналитика

Security Vision SIEM: Новая версия меняет правила защиты данных

  • 24-01-2026 16:42
  • 0
| изображение: ru.freepik.com |

Как новая версия SIEM от Security Vision меняет принципы обеспечения безопасности данных

Компания Security Vision представила крупное обновление своей SIEM-платформы — унифицированного решения для анализа происшествий в сфере защиты информации, созданного для организаций всех размеров. Эта система позволяет внедрить основные процедуры наблюдения и реагирования на угрозы информационной безопасности. Платформа построена на единой no-code основе SecurityVision 5, что облегчает её адаптацию и настройку под запросы конкретного клиента, а также открывает возможности для развития сценариев противодействия, в том числе благодаря плавному взаимодействию с другими решениями из портфеля Security Vision.

Основные элементы SIEM от Security Vision

Обнаружение, распознавание и учёт ИТ-ресурсов

В рамках платформы Security Vision SIEM представлен многофункциональный модуль управления активами, который создаёт целостную и актуальную картину всех ИТ-ресурсов. Этот компонент выполняет поиск, идентификацию и инвентаризацию узлов и служб, позволяет управлять группами активов и классифицировать их по уровню важности и функциональной роли. Это даёт специалисту по расследованию инцидентов понимание того, какой именно ресурс подвергся воздействию, к какой сети он принадлежит и какую ценность представляет для бизнеса.

Платформа также способна выявлять и обследовать активы без прямого подключения к их сетевым сегментам: для этого разворачивается отдельный выделенный сервис коннекторов, через который (или через цепочку аналогичных сервисов) осуществляется обнаружение и сбор сведений об активах из удалённых участков сети.

Модуль управления активами также позволяет работать с разрешенными и запрещенными перечнями ПО, а также строить маршруты доступности между активами, опираясь на таблицы маршрутизации и списки контроля доступа (ACL). Это помогает аналитикам SOC понять, как инцидент на одном устройстве может распространиться на остальную инфраструктуру, оценить риски компрометации критически важных систем и определить оптимальные точки для их изоляции.

Агрегация данных из разнородных источников

Платформа собирает события через удаленные подключения или с помощью локальных агентов. Также поддерживается работа автономных агентов, которые получают задания по сбору информации и передают накопленные данные при восстановлении связи с корпоративной сетью. Удаленный сбор может быть организован без прямого доступа с центрального сервера к конечным устройствам — через цепочку распределенных сервисов-коннекторов, размещенных в различных сегментах сети.

Управление источниками событий построено на основе шаблонных профилей, что позволяет повторно использовать конфигурации и оперативно подключать новые источники. В системе уже присутствуют готовые профили для различных протоколов и методов сбора (таких как WMI, Syslog, JDBC/DBC, HTTP).

В консоли управления задачами также реализованы возможности:

  • автоматической настройки и контроля ведения журналов на хостах;
  • автоматической установки и управления агентами.

На основе созданных задач система отображает потоки событий на интерактивном графе, показывая для каждого узла объем принятых или переданных данных, а также интенсивность событий в секунду (EPS). Платформа способна отслеживать потоки от всех первичных источников, включая те, сбор с которых централизован через WEF или Syslog. Это обеспечивает детальный мониторинг полноты данных, выявление узких мест и диагностику возможных проблем.

В платформу встроены механизмы оптимизации использования оперативной памяти и дискового пространства для хранения событий. Например, для различных категорий событий можно установить разные периоды хранения или отключить полное логирование для отдельных типов, сохраняя только те данные, которые требуются для работы корреляционных правил.

Нормализация данных без программирования

Продукт содержит предустановленные схемы нормализации для широкого спектра распространенных источников журналов (таких как Microsoft Server, Exchange Server, Syslog, DNS, VMware, 1C, Kubernetes, PostgreSQL и другие), что позволяет быстро интегрировать инфраструктуру заказчика с SIEM-платформой и получать унифицированные, нормализованные события.

Для нестандартных ситуаций схемы нормализации в коннекторах можно настраивать и разрабатывать новые в визуальном режиме без программирования, применяя дополнительное обогащение данных и расчёт итоговых показателей в переменных в режиме реального времени. Это позволяет гибко подстраивать решение под любую ИТ-среду и обеспечивает простоту освоения для специалистов.

Эффективный движок корреляции и обширная библиотека правил

Security Vision SIEM включает высокопроизводительный движок корреляции и визуальный редактор правил, не требующий знания специального синтаксиса для задания условий, что позволяет работать через графический интерфейс для:

  • построения правил с многоуровневой вложенностью фильтров;
  • использования сложных последовательностей и условий взаимосвязи блоков, включая неограниченное вложение блоков разных типов;
  • определения условий для блоков и их связей в цепочке, в том числе сценариев типа «отрицание» (когда отсутствие ожидаемого события служит сигналом, включая первый элемент цепочки — например, для атаки golden ticket);
  • синхронизации времени при получении разрозненных событий от различных источников и поддержки ретроспективного восстановления цепочек для корректной обработки.

В базовой поставке доступно свыше 1000 правил корреляции, охватывающих 73% техник MITRE ATT&CK. Все правила сопоставлены как с MITRE ATT&CK, так и с БДУ ФСТЭК.

Корреляционный движок способен выдерживать высокие нагрузки (более 100K событий в секунду) и оптимизирован для работы с минимальным потреблением ресурсов.

Реагирование на инциденты

Для расследования инцидентов в продукте предусмотрена карточка инцидента, предоставляющая аналитику:

  • Информацию о связанных активах — с возможностью выполнять действия по реагированию непосредственно из карточки;
  • Данные о выявленных артефактах (например: процесс, внешний IP-адрес, URL и др.);
  • Экспертные рекомендации по шагам реагирования на конкретный инцидент;
  • Чат для взаимодействия с коллегами и группой реагирования;
  • Сведения об исходных оповещениях и событиях;
  • Функционал создания задач, в том числе во внешних ITSM-системах с двусторонней интеграцией, возможность отправки и получения электронных писем, отправки сообщений в мессенджеры.

Такой набор инструментов позволяет выполнять базовые действия по реагированию из единой консоли SIEM. Для расширенного реагирования доступна интеграция с продуктами Security Vision SOAR и NGSOAR.

Продукт включает набор ML-моделей

  • Оценка ложных срабатываний — модель обучается на данных по уже обработанным инцидентам, и при поступлении нового кейса система определяет степень его сходства с ранее закрытыми как ложные срабатывания, предоставляя результат в виде процентного совпадения;
  • Похожие случаи — модель изучает контекст инцидента, находит и отображает аналогичные ситуации. Это помогает аналитику увидеть как текущие похожие инциденты в работе, так и изучить, как аналогичные случаи решались ранее;
  • ML-оценка важности — сервис определяет уровень критичности инцидента на основе признаков, показывающих масштаб и значимость затронутых ресурсов, с учётом контекста связанных с инцидентом оповещений.

Результаты работы всех ML-моделей отображаются в карточке инцидента для удобного анализа и принятия мер.

Ретроспективный анализ правил корреляции

В Security Vision SIEM доступна проверка правил корреляции по архивным данным: набор правил можно применить к уже собранным событиям и посмотреть, как бы они сработали. Это облегчает контроль качества изменений и помогает обнаруживать следы ранее незамеченных атак после появления новых правил, гипотез, корректировок условий, добавления новых IOC, проверок и т.д.

Централизованный мониторинг состояния

В составе продукта представлен набор дашбордов и отчётов, а также встроенный конструктор, позволяющий в режиме no-code создавать собственные отчёты и дашборды, настраивать расписание их автоматической выгрузки и отправки через любые каналы связи.

Отдельно реализован дашборд мониторинга, который объединяет на одном экране ключевые метрики работы SIEM. Этот дашборд помогает быстро оценить текущую ситуацию и динамику изменения «здоровья» системы, выявить аномалии в потоке событий, проблемные источники и правила с повышенным уровнем шума для оперативного принятия мер.

Основные достоинства Security Vision SIEM

Главные преимущества платформы заключаются в следующем:

  • Адаптивный и контролируемый сбор информации: встроенные шаблоны и система заданий обеспечивают оперативное расширение подключения стандартных источников;
  • готовые настройки для распространённых источников данных с возможностью персонализации без необходимости написания кода;
  • свыше 1000 правил корреляции, охватывающих 73% методов из матрицы MITRE ATT&CK;
  • унифицированное пространство для анализа и реагирования: карточка инцидента объединяет события/оповещения, артефакты, связанные объекты, рекомендации, переписку и задачи;
  • встроенные инструменты машинного обучения: модели помогают сконцентрироваться на наиболее значимых инцидентах.
Рекламаerid:2W5zFJ5qauvРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
Подписаться на новости
Поделиться:
ИИ для рекрутинга: какие платформы реально работают — исследование «Сколково»

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Новости Hardware 823 Новости Software 681 Игры 47 Смартфоны и связь 35 Авто и транспорт 12 Гаджеты 12 Носимая электроника 8 Фото и видео 3 ОС и софт 310 Космос 4 Графика и дизайн 0 Аудио и видео 0 Наука 11 Процессоры 12 Безопасность 313 AI и нейросети 22 Открытое ПО 14 Аналитика 324 Мероприятия 4 Пресс-релизы 0 ИКТ-бизнес 311 Телеком 311 Интернет 325 Новости 502
Похожие новости
Card image
ОС и софт
Облачные технологии доказали прямую связь с ростом прибыли компаний
Card image
Аналитика
Онлайн-доски для командной работы: обзор российских решений и критерии выбора
Card image
Безопасность
Новогодний фишинг: как мошенники маскируются под памятки о празднике
Популярные новости
product
Apple готовит сюрпризы: бюджетный Vision Air и складной iPhone в разработке

04/01/2026

product
Штаты против Трампа: суд из-за визового сбора в $100 000

04/01/2026

product
От информации к знаниям: как эволюционируют корпоративные платформы

04/01/2026

product
Intel усиливает команду по ИИ, переманив ключевых архитекторов у конкурентов

21/01/2026

product
Москва запускает новую навигационную систему: что придет на смену GPS и ГЛОНАСС?

19/01/2026

product
Бестселлером в США стала необычная консоль без геймпада, обогнав Xbox

04/01/2026

product
The Alters: 1,5 миллиона игроков за полгода — философия и выживание нашли свою аудиторию

04/01/2026

product
Oppo запускает Reno15 Pro и Pro Max глобально: знакомые модели под новыми именами

04/01/2026

product
Почему ИИ нуждается в огромных объёмах энергии, и сможет ли он в перспективе стать зелёным

31/12/2025

product
Apple и Google предупредили: за вашими телефонами следят государственные хакеры

28/12/2025

Популярные теги
Apple Google Microsoft NVIDIA OpenAI Samsung Steam ИИ ИТ-инфраструктура Китай МТС МегаФон Россия США ЦОД автоматизация безопасность дата выхода дата-центры защита данных игровая индустрия импортозамещение инвестиции информационная безопасность искусственный интеллект исследование кибератаки кибербезопасность мобильная связь мобильный интернет обзор полупроводники российское ПО связь скорость интернета телекоммуникации фишинг характеристики цена цифровая трансформация
Показать все теги