Компания R‑Vision, российский разработчик систем кибербезопасности, представила свою среду для разработки, которая стала основой для правил корреляции в R‑Vision SIEM. Специальный плагин для VS Code помогает аналитикам в работе с кодом и доступен для скачивания на маркетплейсе — marketplace.visualstudio.com.
Для эффективного обнаружения действий хакеров нужен гибкий инструмент, позволяющий пользователям разрабатывать экспертизу разной сложности для SIEM‑систем. Именно это повлияло на решение в R‑Vision SIEM использовать подход «правило как код». Непосредственно для подготовки экспертизы в R‑Vision SIEM мы используем технологию Vector, которая соответствует всем современным требованиям и в том числе обладает рядом преимуществ:
- масштабируемость;
- готовность к большим нагрузкам;
- эффективность использования ресурсов.
При этом стоит отметить, что Vector — это технология с открытым исходным кодом, и внутри нашей компании мы создали экспертное сообщество для ее развития. Команда R-Vision использует вектор практически для всех этапов обработки событий: нормализации, корреляции, агрегации и сегментации.
На базе Vector мы разработали свой язык описания объектов экспертизы в SIEM, а для эффективной работы с кодом в R‑Vision SIEM разработан плагин R‑Object. Он предоставляет возможность при подготовке экспертизы воспользоваться следующим функционалом:
- проверка синтаксиса и подсказки для увеличения скорости разработки;
- пошаговая отладка для поэтапной проверки кода;
- валидация для контроля качества кода;
- автоматическое тестирование для минимизации ошибок;
- версионирование для контроля разрабатываемого контента;
- бенчмаркинг для определения нагрузки правила на систему.
«При создании R‑Object мы учитывали потребности профессионального сообщества, которому необходим удобный инструмент для эффективной разработки экспертизы. Мы сами используем наши инструменты для создания контента для R‑Vision SIEM, – отмечает Виктор Никуличев, продакт-менеджер R‑Vision. – Кроме того, чтобы помочь сообществу развиваться в этом направлении, мы разрабатываем обучающие материалы. Они позволят вам ознакомиться с нашей технологией и узнать о её особенностях».
Для того, чтобы узнать больше о наших возможностях и увидеть, насколько всё просто и легко, смотрите видео по ссылке.
