Компания R-Vision анонсировала выпуск новой версии своей SIEM-платформы — R-Vision SIEM 2.62.7. В обновлении улучшены функции поиска и визуализации событий, аудита источников данных, настройки конвейеров обработки, а также расширены возможности для настройки корреляционных правил.
В обновленной версии системы появился инструмент для оперативного добавления исключений в корреляционные правила. Механизм работы коррелятора теперь поддерживает создание черных и белых списков для управления обработкой событий. Это позволяет применять различную логику к данным, связанным с доверенными или подозрительными объектами, такими как IP-адреса, учетные записи пользователей или имена хостов.
Исключения могут быть добавлены пользователем вручную через редактирование активного списка или с помощью специального конструктора в интерфейсе поиска событий. Конструктор дает возможность выбрать атрибуты события для формирования правила исключения в полуавтоматическом режиме.
Данный инструмент необходим для тонкой настройки SIEM-системы под специфику инфраструктуры заказчика. Его использование помогает сократить число ложных тревог, разгрузить аналитиков первого уровня SOC и сконцентрировать их внимание на реальных инцидентах безопасности.
Также реализована функция централизованного обновления правил агрегации, сегментации, корреляции и нормализации. Теперь обновления можно применять одновременно на нескольких конвейерах обработки непосредственно из раздела экспертных правил. Это сокращает объем рутинных операций, уменьшает трудозатраты на сопровождение системы и снижает риск ошибок при модификации правил.
Модуль аудита источников данных был существенно доработан и дополнен новыми алгоритмами расчета и настройки.
Пользователям стал доступен новый тип политики аудита — «По маске». Эта политика идентифицирует источник на основе уникальной комбинации полей в событии, что позволяет точно различать источники, даже если они передаются через единую систему-отправитель, такую как Windows Event Collector (WEC).
Кроме того, добавлен новый алгоритм расчета аномалий на основе скользящего среднего. Он анализирует среднее количество событий в секунду (EPS) для источника, а порог срабатывания задается в процентах от этого значения. Таким образом, пороги для каждого источника устанавливаются автоматически в соответствии с его типичной нагрузкой.
Также при настройке точек входа появилась возможность выборочно отключать аудит для отдельных элементов. Это позволяет исключать из политик аудита неактуальные компоненты конвейера, что снижает нагрузку на систему и оптимизирует ресурсы, затрачиваемые на обработку данных.
В итоге, обновление повышает точность мониторинга источников данных и способствует более эффективному обнаружению аномалий, минимизируя количество ложных оповещений.
При выполнении запросов с группировкой теперь доступна специальная панель, позволяющая детально изучать события внутри каждой группы. Для любого запроса с GROUP BY интерфейс автоматически разделяется на две области: слева отображаются сформированные группы, а справа — соответствующий им перечень событий. Это делает анализ данных более удобным и эффективным, экономя время при расследовании инцидентов, создании корреляционных правил или проведении поиска угроз (Threat Hunting).
Появилась функция одновременного поиска по нескольким хранилищам из различных баз данных, что ускоряет анализ в распределённых системах и сокращает время формирования отчётов.
Реализована фильтрация по вложенным полям (за исключением массивов) с использованием операторов =, !=, LIKE. В язык запросов RQL добавлены функции приведения типов для более точного отбора данных. Это расширяет возможности поиска по JSON-полям и повышает производительность подобных запросов при обработке неструктурированной информации.
Добавлены новые элементы визуализации: карта с кластеризацией — отображает данные в виде групп точек, географически близких друг к другу; карта мира — визуализирует информацию, сгруппированную по странам.
Использование геовизуализации предоставляет новые способы создания обзорных панелей мониторинга для SOC, значительно повышая наглядность данных.
Прочие улучшения: интеграция с R-Vision TIP: конечная точка R-Vision TIP передаёт события для автоматического извлечения индикаторов компрометации (IOC), что автоматизирует обогащение данных и усиливает проактивную защиту; новый источник данных MongoDB: сбор логов приложений напрямую из базы данных для их последующей обработки в SIEM; управление рабочим пространством коллектора: при импорте доступен выбор подключения, а для отключённого коллектора — смена пространства. Это упрощает процессы миграции и работу в гибридных инфраструктурах; обновлённый модуль «Быстрый старт»: при развёртывании системы автоматически создаются предустановленные объекты — примеры конвейеров обработки, демонстрационный пакет экспертизы, базовые и корреляционные события, шаблоны дашбордов. SIEM становится готовой к демонстрации сразу после установки, что ускоряет ввод в эксплуатацию и запуск пилотных проектов.
«В релизах R-Vision SIEM 2.6 и 2.7 мы внедрили ряд ключевых пользовательских функций, ориентированных на работу аналитика SIEM. Обновление оптимизирует взаимодействие пользователя с системой и существенно расширяет возможности по обработке событий, настройке коррелятора и мониторингу источников. Это способствует корректной настройке SIEM, экономит ресурсы сотрудников на рутинные операции и позволяет команде SOC сконцентрироваться на реальных угрозах», – прокомментировал Виктор Никуличев, руководитель продукта R-Vision SIEM.
