Поделиться
Обновление R-Vision SIEM: оценка покрытия MITRE ATT&CK, активное реагирование на агентах и аналитические инструменты нового уровня
R-Vision представил обновление системы управления событиями информационной безопасности — R-Vision SIEM 2.5. Свежие релизы сфокусированы на расширении аналитических возможностей, внедрении активного реагирования на агентах, а также повышают удобство работы пользователя через встроенную оценку покрытия MITRE ATT&CK прямо в интерфейсе продукта. Об этом CNews сообщили представители R-Vision.
Оценка покрытия MITRE ATT&CK
Одним из ключевых нововведений стал раздел «Покрытие MITRE ATT&CK», который наглядно показывает, какие техники и подтехники фреймворка обнаруживаются установленными правилами детектирования. Это позволяет специалистам по информационной безопасности оперативно оценивать полноту защиты и планировать развитие системы детектирования с фокусом на наиболее критичные векторы атак.
Активное реагирование на агентах
Вендор продолжает развивать возможности централизованного управления конечными устройствами. В интерфейсе продукта появилась возможность выполнять действия активного реагирования для подключенных конечных станций: удалять подозрительные файлы; выполнять самоизоляцию узла; осуществлять остановку процессов; отправлять файлы; добавлять или удалять записей в hosts для блокировки или разблокировки доменов и IP-адресов с использованием техники DNS Sinkholing.
Это расширяет сценарии оперативного реагирования и помогает аналитикам SOC быстрее пресекать угрозы.
Расширенные аналитические инструменты
Найденные события теперь можно добавлять в «Избранное», чтобы собрать все ключевые данные. Такой инструмент помогает аналитику собирать все артефакты расследования в одном месте и при необходимости быстро к ним возвращаться.
Реализована функция «Сравнение событий» — система подсвечивает отличия между эталонным и текущим событием с точностью до строки/ слова/символа.
В разделе «Поиск» теперь можно в один клик формировать виджеты через кнопку моментального создания и сразу визуализировать полученную статистику.
Управление отображением данных на дашбордах и отчетах стало гибче благодаря поддержке переменных. Переменные для дашборда позволяют централизованно задавать параметризируемые поля для каждого виджета, благодаря чему достаточно изменить одно значение — и весь дашборд обновляется автоматически, что существенно ускоряет анализ данных и настройку визуализаций.
Универсальная модель события 2.0
В последней версии R-Vision SIEM представлена новая универсальная модель события 2.0, построенная по принципу субъектно-объектного описания событий. Такая структура упрощает процесс нормализации событий для инженера и одновременно повышает консистентность и облегчает интерпретацию событий для аналитика. Благодаря этому инженеры быстрее создают правила обработки событий, а аналитики получают более понятные и структурированные события для расследований и мониторинга.
Кроме того, модели событий теперь поддерживают динамические поля, содержащие структурированные данные типа JSON — обращаться к ним можно как к полю целиком, так и к вложенным объектам и массивам через RQL-запросы.
Дополнительные улучшения
Сбор событий из файлов: добавлены точки входа FTP и SMB для мониторинга изменений и сбора событий с удаленных ресурсов.
Аудит записей активных списков: теперь система фиксирует все операции пользователей и правил корреляции над записями активных списков, создавая события аудита, которые можно повторно использовать для корреляции и дальнейшего анализа.
Определение источников по маске: в политиках аудита источников реализована возможность идентифицировать группы источников по набору полей события, без привязки к точкам входа и конвейерам. Это позволяет более гранулярно идентифицировать источник для наблюдения.
«В фокусе последних релизов R-Vision SIEM — создание единой среды, в которой аналитик может не только исследовать события, но и мгновенно действовать. Мы развиваем инструменты анализа, визуализации и активного реагирования, делая работу SOC-команд быстрее, прозрачнее и эффективнее», — отметил Виктор Никуличев, руководитель продукта R-Vision SIEM.
Поделиться
Короткая ссылка
