Поделиться
Security Vision представила обновление SIEM-платформы
Компания Security Vision объявила о выпуске обновления платформы Security Vision SIEM. Обновление значительно расширяет возможности сбора, анализа данных и реагирования на инциденты информационной безопасности, предлагая единый и гибкий рабочий контур для SOC-аналитиков.
Решение построено на единой No Code-/Low Code-платформе Security Vision 5, что обеспечивает простоту масштабирования, глубокую кастомизацию под задачи каждого заказчика и дает возможности по расширению сценариев реагирования, в том числе за счёт бесшовной интеграции с другими продуктами линейки Security Vision.
В составе Security Vision SIEM доступен полнофункциональный модуль Assets Management, который формирует единую актуальную витрину ИТ-активов. Модуль обеспечивает сканирование, идентификацию и инвентаризацию хостов и сервисов, управление группами активов и их категорирование по критичности и ролям. Это предоставляет Аналитику, при расследовании инцидентов, контекст того, какой именно актив затронут, к какому сегменту он относится и какое бизнес-значение имеет.
Система выполняет сбор событий от источников через удаленное подключение или с помощью агентов, которые самостоятельно получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удаленный сбор данных может осуществляться без прямого доступа к конечным устройствам с центрального сервера – через цепочку отдельных сервисов коннекторов, распределенных по отдельным сегментам корпоративной сети.
Управление источниками событий реализовано на основе механизма управления задачами по типовым профилям, что дает возможность повторно использовать настройки и быстро масштабировать подключение новых источников. В продукт заложены готовые профили для различных методов сбора (например, WMI, Syslog, JDBC/DBC, HTTP).
В консоли управления задачами также доступны: автоматическая настройка и управление логированием на хостах; автоматическая установка и управление агентами.
В продукт заложены схемы нормализации для всех популярных источников журналов (таких как Microsoft Server, Exchange Server, Syslog, DNS, VMware, «1C», Kubernetes, PostgreSQL и другие), что дает возможность быстрого подключения инфраструктуры Заказчика к SIEM и получения нормализованных событий.
В Security Vision SIEM реализован производительный корреляционный движок и графический No-Code-редактор правил корреляции, который не требует изучения какого-либо синтаксиса задания правил и условий, и обеспечивающий возможность через графический интерфейс: строить правила с многоуровневой вложенностью условий фильтров; использовать сложные последовательности и условия соотношения блоков между собой, в том числе неограниченную вложенность билдинг-блоков различных типов; задавать условия для блоков и связок в цепочке, включая сценарии типа «отрицание» (когда отсутствие ожидаемого события является сигналом, в том числе и для первого события в цепочке – пример для golden ticket); при поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки.
Из коробки доступно более 1 тыс. правил корреляции, покрывающих 73% техник MITRE ATT&CK. Все правила сопровождаются маппингом как на MITRE ATT&CK, так и на БДУ ФСТЭК.
Для проведения расследования инцидентов, в продукте предусмотрена карточка инцидента, в которой аналитику доступны: информация о связанных активах — с возможностью выполнять действия по реагированию прямо из карточки инцидента; сведения о выявленных артефактах (например: процесс, внешний IP, URL и др.); экспертные рекомендации по шагам реагирования на данный инцидент; чат для взаимодействия с коллегами и группой реагирования; данные об исходных алертах и событиях; функционал создания задач в том числе во внешних ITSM с двусторонней интеграцией, возможность отправки и получения электронных писем, отправка сообщений в мессенджеры.
В составе продукта предусмотрен ряд ML-моделей: скоринг False Positive - Модель обучается на данных по закрытым инцидентам и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми с вердиктом False positive и выдает результат в виде процентного соответствия; похожие инциденты – модель анализирует контекст инцидента ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом; ML-скоринг критичности – сервис оценивает критичность инцидента на основе признаков, отражающих массовость и значимость затронутых активов с учетом контекста связанных с инцидентом алертов.
Результаты работы всех ML-моделей доступны в карточке инцидента для удобного расследования и реагирования.
В Security Vision SIEM доступна проверка правил корреляции на исторических данных: набор правил можно запустить по уже собранным событиям и увидеть, как бы оно отработало. Это упрощает контроль качества изменений и помогает находить следы ранее не выявленных атак после появления новых правил и гипотез, или корректировки условий, добавления новых IOC, проверок и т.д.
В составе продукта доступен набор дашбордов и отчетов, а также также встроенный конструктор, который позволяет в режиме No-code создавать собственные отчеты и дашборды, настраивать расписания по автоматической их выгрузке и отправке через любые каналы связи.
Отдельно реализован дашборд мониторинга, который сводит на одном экране ключевые метрики работы SIEM. Дашборд помогает быстро оценить текущее состояние и динамику изменения «здоровья» системы, выявить аномалии в потоке событий, проблемные источники и правила с повышенным шумом, чтобы оперативно принять меры.
Поделиться
Короткая ссылка
