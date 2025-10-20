Обновление R-Vision SIEM: оценка покрытия MITRE ATT&CK, активное реагирование на агентах и аналитические инструменты нового уровня

R-Vision представил обновление системы управления событиями информационной безопасности — R-Vision SIEM 2.5. Свежие релизы сфокусированы на расширении аналитических возможностей, внедрении активного реагирования на агентах, а также повышают удобство работы пользователя через встроенную оценку покрытия MITRE ATT&CK прямо в интерфейсе продукта. Об этом CNews сообщили представители R-Vision.

Оценка покрытия MITRE ATT&CK

Одним из ключевых нововведений стал раздел «Покрытие MITRE ATT&CK», который наглядно показывает, какие техники и подтехники фреймворка обнаруживаются установленными правилами детектирования. Это позволяет специалистам по информационной безопасности оперативно оценивать полноту защиты и планировать развитие системы детектирования с фокусом на наиболее критичные векторы атак.

Активное реагирование на агентах

Вендор продолжает развивать возможности централизованного управления конечными устройствами. В интерфейсе продукта появилась возможность выполнять действия активного реагирования для подключенных конечных станций: удалять подозрительные файлы; выполнять самоизоляцию узла; осуществлять остановку процессов; отправлять файлы; добавлять или удалять записей в hosts для блокировки или разблокировки доменов и IP-адресов с использованием техники DNS Sinkholing.

Это расширяет сценарии оперативного реагирования и помогает аналитикам SOC быстрее пресекать угрозы.

Расширенные аналитические инструменты

Найденные события теперь можно добавлять в «Избранное», чтобы собрать все ключевые данные. Такой инструмент помогает аналитику собирать все артефакты расследования в одном месте и при необходимости быстро к ним возвращаться.

Реализована функция «Сравнение событий» — система подсвечивает отличия между эталонным и текущим событием с точностью до строки/ слова/символа.

В разделе «Поиск» теперь можно в один клик формировать виджеты через кнопку моментального создания и сразу визуализировать полученную статистику.

Управление отображением данных на дашбордах и отчетах стало гибче благодаря поддержке переменных. Переменные для дашборда позволяют централизованно задавать параметризируемые поля для каждого виджета, благодаря чему достаточно изменить одно значение — и весь дашборд обновляется автоматически, что существенно ускоряет анализ данных и настройку визуализаций.

Универсальная модель события 2.0

В последней версии R-Vision SIEM представлена новая универсальная модель события 2.0, построенная по принципу субъектно-объектного описания событий. Такая структура упрощает процесс нормализации событий для инженера и одновременно повышает консистентность и облегчает интерпретацию событий для аналитика. Благодаря этому инженеры быстрее создают правила обработки событий, а аналитики получают более понятные и структурированные события для расследований и мониторинга.

Кроме того, модели событий теперь поддерживают динамические поля, содержащие структурированные данные типа JSON — обращаться к ним можно как к полю целиком, так и к вложенным объектам и массивам через RQL-запросы.

Дополнительные улучшения

Сбор событий из файлов: добавлены точки входа FTP и SMB для мониторинга изменений и сбора событий с удаленных ресурсов.

Аудит записей активных списков: теперь система фиксирует все операции пользователей и правил корреляции над записями активных списков, создавая события аудита, которые можно повторно использовать для корреляции и дальнейшего анализа.

Определение источников по маске: в политиках аудита источников реализована возможность идентифицировать группы источников по набору полей события, без привязки к точкам входа и конвейерам. Это позволяет более гранулярно идентифицировать источник для наблюдения.

«В фокусе последних релизов R-Vision SIEM — создание единой среды, в которой аналитик может не только исследовать события, но и мгновенно действовать. Мы развиваем инструменты анализа, визуализации и активного реагирования, делая работу SOC-команд быстрее, прозрачнее и эффективнее», — отметил Виктор Никуличев, руководитель продукта R-Vision SIEM.