R-Vision SIEM

Основная статья: Security Information and Event Management (SIEM)

2024

R-Vision SIEM 1.8 с расширенным функционалом

Компания R-Vision 26 сентября 2024 года представила обновленную версию флагманского продукта R-Vision SIEM 1.8 с расширенным функционалом. В данной версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.

Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На сентябрь 2024 года пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи, — подчеркнул Виктор Никуличев, продакт-менеджер R-Vision.

В данной версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.Цифровизация ритейла: тренды, инновации, крупнейшие ИТ-поставщики. Обзор TAdviser 8.6 т

Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.

Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.

Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.

В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.

Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:

Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.

Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.

Разработчик улучшил базовый функционал системы R-Vision SIEM 1.8, добавив две новые функции:

• Экспорт и импорт дашбордов.
  

Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.

• Шаблоны сообщений для SMTP-интеграции.
  

При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.

Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.

R-Vision SIEM 1.6 с режимом распределенной работы коррелятора

Компания R-Vision 27 июня 2024 года сообщила о выходе R-Vision SIEM версии 1.6. Обновление включает в себя улучшения в работе с правилами корреляции, а также расширение возможностей масштабирования, дополнительного контроля и управления пользователями.

R-Vision SIEM 1.6 дополнился режимом распределенной работы коррелятора, который доступен при настройке коллектора. Теперь можно использовать ресурсы нескольких узлов в кластере для параллельной обработки событий. Благодаря этому для обработки большего числа событий можно горизонтально масштабировать ресурсы корреляции доступными физическими машинами, экономя на стоимости больших конфигураций.

Команда экспертов R-Vision SIEM также уделила особое внимание работе с крупными инфраструктурами. Для таких заказчиков важна гибкая ролевая модель. Поэтому в данной версии разработчики реализовали функционал мультитенантности в системе, благодаря которому можно централизованно управлять одним решением для защиты нескольких филиалов организации.

Также разработчик предусмотрел гибкую систему ограничений за счет групп разрешений и ролей. В том числе возможность распределить роли доступа и создать группы пользователей с абсолютно уникальными разрешениями. Парольная политика, в свою очередь, устанавливает требования к надежности и использованию паролей для учетных записей, что повышает защищенность самой системы.

Кроме того, разработчик сделал функционал сниппетов для управления шаблонами функций, которые используются при разработке правил корреляции и нормализации. Например, если один и тот же фрагмент кода планируется использовать в нескольких программах, его можно сохранить в виде сниппета, а затем с помощью этого сниппета добавить его в нужные места программ.

В R-Vision мы разрабатываем технологии, опираясь на обратную связь клиентов. Мы постоянно улучшаем наши продукты, добавляем новые функции и делаем их использование более удобным, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Внесенные улучшения отвечают на основной запрос заказчиков по масштабированию и контролю системы. А функционал распределенной корреляции открывает новые возможности для наших клиентов.

Включение в Репозиторий АФТ

Компания R-Vision 19 марта 2024 года объявила о включении решения R-Vision SIEM в Репозиторий «Ассоциации ФинТех»(репозиторий АФТ). В данном репозитории содержатся проверенные ИБ-продукты, которые рекомендуется использовать в рамках импортозамещения в финансовой отрасли. R-Vision SIEM внесен в реестр АФТ 15 марта 2024 года. Реестровый номер — АФТ0247.

Включение R-Vision SIEM в репозиторий «Ассоциации ФинТех» — шаг, который позволит значительно расширить возможности сотрудничества R-Vision с организациями из финансовой отрасли, — отметил Камиль Баймашкин, заместитель исполнительного директора R-Vision. — Это особенно актуально в рамках программы импортозамещения зарубежного программного обеспечения. Поэтому внесение системы управления потоками событий информационной безопасности R-Vision SIEM в перечень ИТ-решений для финансового сектора подтверждает, что продукт поможет финансовым организациям найти достойную замену ушедшим с рынка зарубежным вендорам без потери в функциональности и производительности, и обеспечить решение даже для самых сложных задач в информационной безопасности.

В банковской сфере, где безопасность является ключевым фактором, SIEM-системы (Security Information and Event Management) играют важнейшую роль. Они позволяют оперативно обнаруживать угрозы и реагировать на них, что особенно актуально в условиях частых кибератак. С помощью SIEM-систем банки могут отслеживать и анализировать большие объемы данных, что позволяет им своевременно выявлять подозрительные операции, оценивать риски и принимать меры по предотвращению возможных инцидентов. Это, в свою очередь, помогает сохранить доверие клиентов и поддерживать репутацию надежного финансового учреждения.

Кроме того, SIEM-системы обеспечивают централизованный мониторинг и контроль над всеми информационными системами банка, что значительно упрощает процесс управления безопасностью. Они также позволяют автоматизировать процесс реагирования на инциденты, что снижает вероятность ошибок и повышает эффективность работы специалистов.

Организации финансового сектора уделяют большое внимание технологическому развитию и стремятся максимально цифровизировать свои процессы и услуги. Это требует от них обеспечения высокого уровня информационной безопасности для предотвращения утечки критически важных данных. Репозиторий «Ассоциации ФинТех» помогает организациям выбрать надежных поставщиков ИБ-решений, которые доказали свою состоятельность на рынке и являются независимыми от иностранных технологий, — подчеркнул Виктор Никуличев, продукт-менеджер R-Vision SIEM.

R-Vision SIEM 1.3

16 января 2024 года компания R-Vision, разработчик систем кибербезопасности, сообщила о расширении функциональных возможностей технологии R-Vision SIEM. Версия 1.3 включает в себя ряд обновлений: разработчик оптимизировал набор функций для сбора и обработки событий, внедрил инструменты для работы с контентом и поиском. А также добавил конструктор отчетов и расширил способы интеграции с внешними системами.

R-Vision SIEM 1.3

Как сообщалось, в данной версии собственной SIEM-системы эксперты компании расширили функциональные возможности конвейера обработки событий, который позволяет аналитику SOC в графическом интерфейсе управлять функционалом сбора обработки данных. Так, к уже доступным точкам входа и выхода, шинам и нормализатору событий команда R-Vision добавила элементы: агрегатор, маршрутизатор и фильтр. Это позволяет пользователям вариативно настраивать работу с событиями, что особенно актуально при наличии большой инфраструктуры источников и систем.

Кроме того, изменения коснулись работы с объектами экспертизы. Каждый такой объект — это контентная часть продукта, которая содержит в себе написанную экспертизу по обработке и анализу событий ИБ. К ней относятся: правила нормализации и корреляции, активные списки, таблицы обогащения, а также модели событий. Команда R-Vision оптимизировала процесс подготовки объектов экспертизы, добавив функции. Теперь ИБ-специалисты, помимо создания и изменения собственных правил, могут копировать и удалять элементы экспертизы, включать, выключать и обновлять используемые правила, использовать шаблоны и версионирование. Также в обновлении специалисты компании оптимизировали функционал валидации и тестирования правил, который помогает сотрудникам SOC проводить дополнительные проверки результативности разработанных ими правил в тестовой системе. Это позволяет избежать ошибок при подготовке контента и предварительно оценить его эффективность. Что, в свою очередь, снижает количество ложных срабатываний при их запуске и обеспечит быстродействие системы.

Также в R-Vision SIEM 1.3 разработчик расширил функции инструмента поиска: добавил подсветку синтаксиса, подсказки к запросам, которые формируют аналитики SOC, быстрые фильтры прямо из событий ИБ, интерактивный прогресс-бар и график распределения событий. А также поддержку всех ключевых функций запросов в базах данных, за счет чего аналитик сможет быстро найти необходимые события в потоке поступающих данных.

Важным изменением в обновлении системы стало добавление в систему конструктора отчетов, который оптимизирует процесс предоставления отчетности. Конструктор помогает аналитику SOC создавать шаблоны отчетов и отправлять их в соответствии с установленным графиком.

Существенные изменения затронули работу с внешними системами. Так, в версии 1.3 для аналитиков SOC был добавлен активный сбор событий из различных баз данных и по протоколу HTTP. Также в обновленной версии эксперты R-Vision расширили интеграционные возможности, которые, в частности, помогают перейти в интерфейсы систем R-Vision SOAR, Endpoint и UEBA. Это позволяет собирать больше событий из различных систем и автоматически передавать инциденты для реагирования в SOAR.

2023: Представление решения R-Vision SIEM

28 сентября 20232 года компания R-Vision представила две технологии – R-Vision SIEM и R-Vision VM, создание которых стало еще одним шагом на пути развития собственной экосистемы для эволюции SOC R-Vision EVO.

R-Vision SIEM обеспечивает централизованное управление потоками событий со всех информационных систем, помогает своевременно выявлять инциденты и сохранять целостность бизнеса. Она позволяет оптимизировать использование ресурсов компании за счет комплексного подхода к обработке событий безопасности на всех этапах работы с данными.

R-Vision VM – технология, которая позволяет выявлять уязвимости информационной безопасности в инфраструктуре организации, агрегировать полученную информацию в единой базе, а также приоритизировать обнаруженные уязвимости и осуществлять контроль за процессом их устранения.

Наше сотрудничество с R-Vision началось несколько лет назад, когда перед НРД встала задача по построению действительно эффективного процесса Vulnerability Management. На фоне событий 2022 года ситуация также осложнилась отсутствием поддержки решений от иностранных поставщиков ИБ, а значит, вопрос работы с уязвимостями встал еще всё более острее. Модернизация процесса управления уязвимостями с помощью экспертизы и технологий R-Vision позволила нам быстро и просто его автоматизировать, обеспечив тем самым своевременное устранение уязвимостей и защиту от их эксплуатации, - прокомментировал Олег Кусеров, директор по информационной безопасности Национального Расчетного Депозитария.