Обновление R-Vision SIEM 1.8: аудит источников событий, мониторинг систем и кластера и управление доступом

Обновление R-Vision SIEM 1.8: аудит источников событий, мониторинг систем и кластера и управление доступом
26.09.2024

Компания R-Vision представила новую версию флагманского продукта R-Vision SIEM 1.8 с расширенным функционалом. В новой версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.

Новый уровень контроля над источниками событий

В новой версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.

Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.

Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.

Мониторинг работоспособности Kubernetes

Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.

В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.

Интеграция с системами каталогов

Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:

  • Аутентифицировать пользователей, используя внешние службы каталогов.
  • Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.
  • Управлять ролями и разрешениями пользователей, импортированных из внешних каталогов.

Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.

Улучшение базового функционала в R-Vision SIEM 1.8

Разработчик улучшил базовый функционал системы R-Vision SIEM 1.8, добавив две новые функции:

1. Экспорт и импорт дашбордов. Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.

2. Шаблоны сообщений для SMTP-интеграции. При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.

Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.

Виктор Никуличев

Продакт‑менеджер R‑Vision

Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На данный момент пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи.

Поделиться:

Подпишись и узнавай больше

Каждый месяц мы собираем для вас главные новости из мира ИБ