СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
R-Vision
2 часа назад
#ИБ

R-Vision расширил пакеты экспертизы для R-Vision SIEM

R-Vision, разработчик систем цифровизации и кибербезопасности, представил масштабное обновление экспертизы для R-Vision SIEM. Правила корреляции дополнены расширенным контекстом и практическими рекомендациями по реагированию – это позволяет аналитикам SOC быстрее интерпретировать срабатывания и оперативно переходить к локализации угроз.

Универсальная Модель Событий (УМС 2.0)
Начиная с версии 2.4 в системе используется Универсальная Модель Событий 2.0 – это стандарт для описания событий в SIEM, основанный на субъектно-объектном подходе и упрощающий анализ событий безопасности.

Под эту модель команда экспертов выпустила 10 релизов с пакетами экспертизы с новым контентом: оптимизированными правилами нормализации и корреляции, а также улучшенной читаемостью событий и более качественным контекстом для расследований.

Обновленные правила нормализации

Обновленные правила нормализации ускоряют обработку событий до 45% за счёт проведённой оптимизации по сравнению с правилами для УМС 1.0. Для повышения консистентности событий введены поля категоризации: события из разных систем приводятся к единой семантике и классам действий, что сокращает время на ручную интерпретацию, а также ускоряет расследование и подготовку отчётности.

Регулярная поставка экспертизы
За последние 2 года команда экспертов выпустила более 50 релизов – обновления с новыми и улучшенными правилами выходят раз в две недели. Такой цикл позволяет заказчикам получать поддержку новых источников, актуальные доработки и расширение сценариев мониторинга без длительного ожидания.

MITRE ATT&CK
Актуальный контент пакетов обеспечивает покрытие матрицы MITRE ATT&CK v17.1 более чем на 65% за счёт маппинга правил корреляции на тактики и техники атакующих. Это даёт заказчику прозрачное понимание полноты мониторинга и помогает расставлять приоритеты при развитии системы обнаружения атак.

Больше контекста и управляемости в правилах корреляции

Помимо детектирующей логики правила корреляции теперь содержат расширенный набор полей, повышающих прозрачность и удобство эксплуатации системы для команд ИБ. Они включают указание необходимых источников данных, ссылки на разборы и аналитические материалы для быстрого погружения, связь с техниками и тактиками матрицы MITRE ATT&CK, а также таксономию инцидента с категорией, типом и уникальным идентификатором для передачи в SOAR-решения, а также рекомендации по реагированию в виде пошагового плана.

Корреляционное событие дополняется описанием на естественном языке, в котором указывается, кто, когда, где и какие действия совершил. Это упрощает и ускоряет работу аналитиков при разборе подозрений на инциденты.

Каждое правило сопровождается unit-тестами с примерами эталонных событий, что помогает лучше понять логику детектирования и упрощает проверку корректности настройки в инфраструктуре заказчика.

Поддержка новых источников и индикаторов
В экспертизу от вендора добавлены правила для новых систем и сервисов. Правила нормализации покрывают более 250 источников из разных категорий – от операционных систем и средств защиты до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции для R-Vision SIEM превышает 850. Это позволяет заказчикам получить более широкий охват инфраструктуры «из коробки» и снизить трудозатраты на разработку собственного контента.

Вспомогательные материалы и открытая база знаний

Экспертиза также включает сопутствующие артефакты: таблицы обогащения, активные списки, витрины данных и конвейеры нормализации в виде импортируемых объектов. Часть материалов, включая конвейеры нормализации, доступна заказчикам публично в репозиториях. Доступен справочный портал по настройке источников событий как единое «входное окно» для инженеров и аналитиков.

Также в открытом доступе публикуются аналитические материалы, подготовленные в процессе разработки правил корреляции.

«Мы убеждены, что корректное обнаружение угроз начинается именно с детального понимания природы событий безопасности, условий их формирования и индикаторов. Наши материалы помогают восстановить полную картину возможной атаки от анализа «сырых» событий и используемых инструментов до логики построения правил детектирования»,прокомментировал Николай Рягин, руководитель управления исследований и аналитики, R-Vision.

R-Vision
Автор: R-Vision
R-Vision — разработчик систем цифровизации и кибербезопасности. С 2011 года компания создаёт технологии, которые помогают организациям эффективно противостоять киберугрозам, поддерживать надёжность ИТ- инфраструктуры и обеспечивать цифровую трансформацию. Технологии R-Vision используются в крупнейших банках, государственных организациях, нефтегазовой отрасли, энергетике, металлургии, промышленности и компаниях других отраслей.
Комментарии: