Компания Security Vision представила обновленную версию SIEM-платформы Security Vision SIEM. Это обновление существенно улучшает функции сбора и анализа данных, а также реагирования на угрозы, предоставляя специалистам SOC единую и адаптивную рабочую среду.
Продукт создан на базе универсальной No Code-/Low Code-платформы Security Vision 5, что облегчает масштабирование, позволяет глубоко адаптировать систему под нужды клиентов и расширять сценарии автоматического реагирования, в том числе благодаря плавной интеграции с другими решениями Security Vision.
Security Vision SIEM включает полноценный модуль управления активами (Assets Management), который создает целостную и актуальную картину всех ИТ-ресурсов. Модуль выполняет сканирование, распознавание и учет хостов и сервисов, управляет группами активов и классифицирует их по уровню важности и функциональной роли. Это помогает аналитику при расследовании инцидентов понять, какой именно ресурс затронут, к какому сетевому сегменту он принадлежит и какую ценность представляет для бизнеса.
Платформа собирает данные с источников через удалённое подключение или с помощью агентов. Агенты самостоятельно получают задания по сбору и передают накопленные события, как только устанавливается соединение с корпоративной сетью. Удалённый сбор может выполняться без прямого доступа к конечным устройствам с центрального сервера — через цепочку распределённых сервисов-коннекторов, размещённых в разных сегментах сети организации.
Управление источниками событий построено на основе шаблонных профилей задач, что позволяет повторно использовать конфигурации и оперативно подключать новые источники. В системе предусмотрены готовые профили для различных методов сбора данных, таких как WMI, Syslog, JDBC/DBC, HTTP.
В консоли управления задачами также доступны: автоматическая настройка и контроль ведения журналов на хостах; автоматическая установка и управление агентами.
Продукт содержит схемы нормализации для всех распространённых источников логов, включая Microsoft Server, Exchange Server, Syslog, DNS, VMware, «1С», Kubernetes, PostgreSQL и другие. Это позволяет быстро подключить инфраструктуру заказчика к SIEM и получать унифицированные события.
В SIEM Security Vision используется высокопроизводительный механизм корреляции и визуальный No-Code-редактор для создания правил. Он не требует знания специального синтаксиса, позволяя через графический интерфейс: конструировать правила с многоуровневой вложенностью фильтров; применять сложные последовательности и взаимосвязи блоков, включая неограниченное вложение блоков разных типов; определять условия для блоков и их соединений в цепочке, в том числе сценарии «отрицания» (когда отсутствие ожидаемого события само является сигналом, что актуально, например, для атаки Golden Ticket); синхронизировать время поступления разрозненных событий от различных источников и выполнять ретроспективное восстановление цепочек для корректной обработки.
В базовой поставке включено свыше 1000 правил корреляции, охватывающих 73% техник MITRE ATT&CK. Все правила сопоставлены как с MITRE ATT&CK, так и с Банком данных угроз ФСТЭК.
Для расследования инцидентов в продукте есть карточка инцидента, где аналитику доступны: данные о связанных активах с возможностью реагирования прямо из карточки; информация об обнаруженных артефактах (например: процесс, внешний IP, URL и др.); экспертные рекомендации по шагам реагирования; чат для взаимодействия с коллегами и группой реагирования; сведения об исходных оповещениях и событиях; функция создания задач, в том числе во внешних ITSM-системах с двусторонней интеграцией, возможность отправки и получения электронных писем, а также отправки сообщений в мессенджеры.
Продукт включает набор ML-моделей: оценка False Positive — модель обучается на данных по закрытым инцидентам и при поступлении нового оценивает его схожесть с ранее закрытыми как ложноположительные, выводя результат в процентном соотношении; поиск похожих инцидентов — модель анализирует контекст инцидента, находит и отображает сходные случаи, что позволяет аналитику увидеть как текущие похожие инциденты, так и историю обработки аналогичных ситуаций; ML-оценка критичности — сервис определяет критичность инцидента на основе признаков, отражающих масштаб и значимость затронутых активов с учётом контекста связанных оповещений.
Результаты работы всех ML-моделей отображаются в карточке инцидента для удобного расследования и реагирования.
В Security Vision SIEM доступна проверка правил корреляции на исторических данных: можно запустить набор правил по уже собранным событиям и увидеть, как бы они сработали. Это упрощает контроль качества изменений и помогает обнаруживать следы ранее не выявленных атак после появления новых правил, гипотез, корректировки условий, добавления новых IOC, проверок и т.д.
Продукт включает комплект панелей мониторинга и отчётов, а также встроенный редактор, дающий возможность без навыков программирования разрабатывать собственные дашборды и отчёты, настраивать график их автоматического экспорта и рассылки через любые доступные каналы.
Особое внимание уделено панели мониторинга, которая объединяет на едином экране основные показатели функционирования SIEM. Этот дашборд позволяет оперативно оценить актуальный статус и тенденции в работе системы, обнаружить отклонения в потоке событий, проблемные источники данных и излишне «шумные» правила для своевременного реагирования.
