Компания R-Vision анонсировала выход обновлённой версии своей платформы мониторинга кибербезопасности — R-Vision SIEM 2.5. Основные улучшения затронули аналитический функционал, механизмы активного реагирования на рабочих станциях, а также интеграцию оценки соответствия тактикам MITRE ATT&CK непосредственно в интерфейс системы. Об этом изданию CNews сообщили представители разработчика.
Оценка соответствия MITRE ATT&CK
Важным новшеством стал модуль «Покрытие MITRE ATT&CK», который визуализирует, какие методы и подметоды данного фреймворка выявляются с помощью текущих правил обнаружения. Это даёт специалистам по кибербезопасности возможность быстро оценить уровень защищённости и выстроить стратегию развития системы обнаружения, уделяя первостепенное внимание наиболее опасным направлениям атак.
Активное реагирование на рабочих станциях
Разработчик усилил возможности централизованного администрирования конечных устройств. В системе появился инструментарий для выполнения операций активного противодействия на подключённых компьютерах: удаление подозрительных объектов; изоляция узла от сети; остановка процессов; передача файлов; редактирование записей в файле hosts для блокировки или разблокировки доменных имён и IP-адресов с применением технологии DNS Sinkholing.
Эти меры расширяют арсенал оперативного реагирования и позволяют аналитикам SOC эффективнее противостоять угрозам.
Усовершенствованные аналитические возможности
Обнаруженные инциденты теперь можно сохранять в раздел «Избранное» для концентрации важных данных. Этот инструмент помогает исследователю собирать все материалы расследования в едином пространстве и оперативно возвращаться к ним при необходимости.
Внедрена опция «Сравнение событий» — система выделяет различия между эталонным и проверяемым событием с точностью до отдельной строки, слова или символа.
В блоке «Поиск» теперь доступно мгновенное создание виджетов по одному нажатию кнопки с немедленной визуализацией полученной статистики.
Управление отображением информации в дашбордах и отчётах стало более гибким благодаря внедрению переменных. Переменные дашборда позволяют централизованно настраивать параметризуемые поля для каждого элемента, что даёт возможность обновить весь дашборд автоматически после изменения одного значения — это значительно ускоряет анализ информации и настройку визуальных представлений.
Универсальная модель события 2.0
В актуальной версии R-Vision SIEM представлена обновлённая универсальная модель события 2.0, основанная на принципах субъектно-объектного описания происшествий. Подобная архитектура упрощает для инженера процедуру нормализации событий и одновременно повышает согласованность и удобство интерпретации данных для аналитика. В результате инженеры быстрее разрабатывают правила обработки событий, а аналитики получают более понятные и организованные данные для расследований и наблюдения.
Также в моделях событий появилась поддержка динамических полей со структурированными JSON-данными — доступ к ним возможен как ко всему полю целиком, так и к отдельным вложенным объектам и массивам с использованием RQL-запросов.
Другие усовершенствования
Сбор событий из файлов: внедрены точки подключения по FTP и SMB для отслеживания изменений и получения событий с удалённых источников.
Аудит записей активных списков: система теперь регистрирует все действия пользователей и правила корреляции, применяемые к элементам активных списков, формируя аудиторские события, пригодные для повторного использования в корреляционных процессах и углублённого анализа.
Идентификация источников по шаблону: в политиках аудита источников появилась функция определения групп источников на основе комбинации полей события, независимо от точек входа и конвейеров обработки. Это даёт возможность более детально классифицировать источники для мониторинга.
«Основной фокус последних обновлений R-Vision SIEM — формирование целостного пространства, где аналитик может не просто изучать события, но и оперативно на них реагировать. Мы совершенствуем инструменты анализа, визуализации и активного противодействия, повышая скорость, прозрачность и результативность работы команд SOC», — подчеркнул Виктор Никуличев, руководитель продукта R-Vision SIEM.
