Security Vision SIEM (Security Information and Event Management)
Security Vision SIEM (Security Information and Event Management) автоматизирует сбор и анализ событий информационной безопасности с применением ИИ и правил корреляции логов и данных из различных источников ИТ-инфраструктуры (хостов, серверов, каталогов и средств защиты информации).
Решение агрегирует все события для обработки в едином интерфейсе, предоставляя специалистам полную картину через карточки, списки, интерактивные виджеты, дашборды, графы связей и другие компоненты конструктора аналитики для изучения, применения гипотез и формирования отчётности.
Сбор и агрегация данных
Security Vision SIEM поставляется с более чем 150 интеграциями «из коробки», дополненными маркетплейсом для поиска и импорта коннекторов. Конструктор коннекторов позволяет подключить любые источники вне зависимости от вендора (конкурентные лицензии) и способа передачи (полный набор транспортов). Поддерживаются Syslog, Event log, WMI, JDBC/ODBC, SQL БД, HTTP, DNS, Docker и Kubernetes.
Корреляция и анализ
Продукт включает более 1000 правил корреляции «из коробки» с покрытием 73% техник MITRE ATT&CK. Встроенный no-code движок корреляции позволяет создавать собственные правила с условиями, фильтрами, последовательностями и учётом веса каждого события без ограничений по количеству и составу.
ИИ и интеграция с LLM
В продукт встроены ML-модели для скоринга инцидентов (определение False Positive), поиска похожих инцидентов и оценки критичности. Реализована интеграция с внешними LLM-моделями (Yandex GPT, ChatGPT, DeepSeek) для помощи аналитикам в обработке инцидентов.
Встроенное реагирование
Из карточки инцидента доступны действия реагирования: карантин, блокировка IP-адресов, завершение процессов и служб на хосте, работа с белыми и чёрными списками ПО, управление маршрутами достижимости и ACL-листами. Карточки и табличные представления можно адаптировать, добавляя свойства, колонки и кнопки без лицензионных ограничений.
Синхронизация и нормализация данных
При поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки. Это важно в ситуациях, когда отсутствие ожидаемого события является сигналом, а также когда обработка большого количества EPS требует минимального «железа».
Управление активами и инвентаризация
Встроенный модуль сканирования, идентификации и инвентаризации формирует единую актуальную витрину ИТ-активов. Модуль собирает информацию о хостах, серверах, ИТ-системах, СЗИ и сервисах, выполняет их категорирование по критичности и ролям с построением полноценной ресурсно-сервисной модели.
Сбор событий и агенты
Сбор событий выполняется через удалённое подключение или с помощью агентов, в том числе автономных. Автономные агенты получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удалённый сбор данных может осуществляться через цепочку отдельных сервисов коннекторов, распределённых по сегментам корпоративной сети. Поддерживается сканирование без прямого соединения с сетевыми сегментами через выделенную компоненту сервиса коннекторов.
Единая модель данных
Security Vision SIEM использует единую модель данных во всех модулях платформы Security Vision. Это обеспечивает бесшовную интеграцию с модулями реагирования, стратегической безопасности, аудита и комплаенса, а также риск-ориентированных SOC.
Сертификация и соответствие требованиям
Security Vision SIEM соответствует требованиям Федеральных законов № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, стандарту СТО БР ИББС и РС БР ИББС-2.5-2014, международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России (по НДВ-2), включён в реестр отечественного ПО и реестр ГосСОПКА.
