СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Security Vision
22.12.2025
#ИБ#ИИ

Security Vision представила масштабное обновление SIEM-платформы для комплексной защиты компаний любого масштаба

Security Vision представила масштабное обновление SIEM-платформы для комплексной защиты компаний любого масштаба

Компания Security Vision объявляет о выпуске масштабного обновления платформы Security Vision SIEM. Обновление значительно расширяет возможности сбора, анализа данных и реагирования на инциденты информационной безопасности, предлагая единый и гибкий рабочий контур для SOC-аналитиков.

Решение построено на единой No Code / Low Code платформе Security Vision 5, что обеспечивает простоту масштабирования, глубокую кастомизацию под задачи каждого заказчика и дает возможности по расширению сценариев реагирования, в т.ч. за счёт бесшовной интеграции с другими продуктами линейки Security Vision.

Ключевые нововведения и возможности обновленной SIEM-платформы:

Сканирование, идентификация и инвентаризация ИТ-Активов

В составе Security Vision SIEM доступен полнофункциональный модуль Assets Management, который формирует единую актуальную витрину IT-активов. Модуль обеспечивает сканирование, идентификацию и инвентаризацию хостов и сервисов, управление группами активов и их категорирование по критичности и ролям. Это предоставляет Аналитику, при расследовании инцидентов, контекст того, какой именно актив затронут, к какому сегменту он относится и какое бизнес-значение имеет.

Гибкий и контролируемый сбор событий из множества источников данных

Система выполняет сбор событий от источников через удаленное подключение или с помощью агентов, которые самостоятельно получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удаленный сбор данных может осуществляться без прямого доступа к конечным устройствам с центрального сервера – через цепочку отдельных сервисов коннекторов, распределенных по отдельным сегментам корпоративной сети.

Управление источниками событий реализовано на основе механизма управления задачами по типовым профилям, что дает возможность переиспользовать настройки и быстро масштабировать подключение новых источников. В продукт заложены готовые профили для различных методов сбора (например, WMI, Syslog, JDBC/DBC, HTTP).

В консоли управления задачами также доступны:

  • автоматическая настройка и управление логированием на хостах;
  • автоматическая установка и управление агентами.

Нормализация в формате No Code

В продукт заложены схемы нормализации для всех популярных источников журналов (таких как Microsoft Server, Exchange Server, Syslog, DNS, VMware, 1C, Kubernetes, PostgreSQL и другие), что дает возможность быстрого подключения инфраструктуры Заказчика к SIEM и получения нормализованных событий.

Мощный корреляционный движок и богатая экспертиза правил

В Security Vision SIEM реализован производительный корреляционный движок и графический No-Code редактор правил корреляции, который не требует изучения какого-либо синтаксиса задания правил и условий, и обеспечивающий возможность через графический интерфейс:

• строить правила с многоуровневой вложенностью условий фильтров;

• использовать сложные последовательности и условия соотношения блоков между собой, в том числе неограниченную вложенность билдинг-блоков различных типов;

• задавать условия для блоков и связок в цепочке, включая сценарии типа «отрицание» (когда отсутствие ожидаемого события является сигналом, в т.ч. и для первого события в цепочке – пример для golden ticket);

• при поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки.

Из коробки доступно более 1000 правил корреляции, покрывающих 73% техник MITRE ATT&CK. Все правила сопровождаются маппингом как на MITRE ATT&CK, так и на БДУ ФСТЭК.

Реагирование на инциденты

Для проведения расследования инцидентов, в продукте предусмотрена карточка инцидента, в которой аналитику доступны:

  • Информация о связанных активах — с возможностью выполнять действия по реагированию прямо из карточки инцидента;
  • Сведения о выявленных артефактах (например: процесс, внешний IP, URL и др.);
  • Экспертные рекомендации по шагам реагирования на данный инцидент;
  • Чат для взаимодействия с коллегами и группой реагирования;
  • Данные об исходных алертах и событиях;
  • Функционал создания задач в том числе во внешних ITSM с двусторонней интеграцией, возможность отправки и получения электронных писем, отправка сообщений в мессенджеры.

В составе продукта предусмотрен ряд ML-моделей

• Скоринг False Positive — Модель обучается на данных по закрытым инцидентам и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми с вердиктом False positive и выдает результат в виде процентного соответствия;

• Похожие инциденты – модель анализирует контекст инцидента ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом;

• ML-скоринг критичности — сервис оценивает критичность инцидента на основе признаков, отражающих массовость и значимость затронутых активов с учетом контекста связанных с инцидентом алертов.

Результаты работы всех ML моделей доступны в карточке инцидента для удобного расследования и реагирования.

Ретроспективная проверка правил корреляции

В Security Vision SIEM доступна проверка правил корреляции на исторических данных: набор правил можно запустить по уже собранным событиям и увидеть, как бы оно отработало. Это упрощает контроль качества изменений и помогает находить следы ранее не выявленных атак после появления новых правил и гипотез, или корректировки условий, добавления новых IOC, проверок и т.д.

Единое окно мониторинга состояния

В составе продукта доступен набор дашбордов и отчетов, а также также встроенный конструктор, который позволяет в режиме No-code создавать собственные отчеты и дашборды, настраивать расписания по автоматической их выгрузке и отправке через любые каналы связи.

Отдельно реализован дашборд мониторинга, который сводит на одном экране ключевые метрики работы SIEM. Дашборд помогает быстро оценить текущее состояние и динамику изменения «здоровья» системы, выявить аномалии в потоке событий, проблемные источники и правила с повышенным шумом, чтобы оперативно принять меры.

Security Vision
Автор: Security Vision
Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision – ИТ-платформа low code/no code, позволяющая роботизировать до 95% программно-технических ИТ/ИБ функций в круглосуточном режиме, тем самым обеспечивая непрерывное реагирование на угрозы, киберинциденты, поиск ИТ-активов и управление конфигурациями, поиск и управление уязвимостями, анализ данных и управление SGRC-процессами. Является 100% российской разработкой, включена в базу данных Минкомсвязи РФ и в Единый реестр российского ПО для ЭВМ и БД.
Комментарии: