Компания R-Vision выпустила новую версию аналитической платформы кибербезопасности R-Vision SENSE 1.5. В продукте появился ряд новых возможностей в сравнении с коммерческим релизом, вышедшим в мае 2021 года. Ключевые изменения коснулись системы поведенческого анализа. Теперь платформа самостоятельно умеет дообучаться и переобучаться для своевременной актуализации шаблонов поведения. Пользователь системы может настраивать интервалы автоматического дообучения под условия своей инфраструктуры, чтобы программные эксперты вовремя получали новые сведения и уменьшали число повторяющихся ложноположительных аномалий. Также, настраивая интервалы переобучения, пользователь может регулировать периодичность сброса устаревшего контекста по объектам, что позволит избежать эффекта накопления полномочий, например, в случае смены ролей сотрудника в компании.
В обновленной платформе реализованы интеграции с целым рядом источников. Отдельно стоит выделить интеграции с системами MaxPatrol SIEM и ArcSight ESM. Также R-Vision SENSE позволяет сохранять и обрабатывать не только сырые события, но и события корреляции из ArcSight ESM, удобно размещая их на общем таймлайне объекта наблюдения. Таким событиям можно назначить рейтинг опасности, после чего они будут влиять на рейтинг объекта наблюдения. В новой версии также реализована интеграция с системой реагирования на инциденты R-Vision IRP – появилась возможность настраивать отправку оповещений об инцидентах. Кроме того, был разработан коннектор для событий Kaspersky Security Center, по которым также можно настраивать простые правила для присвоения алертам баллов опасности на таймлайнах объектов.
В новой версии R-Vision SENSE появилось превью по объекту наблюдения – теперь можно быстро получить информационную сводку об объекте, частым аномалиям, баллах опасности и сразу же перейти к таймлайну для получения всех необходимых подробностей. Был переработан алгоритм работы частотной модели, благодаря чему программные эксперты работают точнее и быстрее. Также разработчики предоставили возможность настраивать программных экспертов для регулирования их чувствительности.
Кроме того, была реализована интеграция с Active Directory. Список пользователей, а также информация по ним появляется и обновляется автоматически. Также теперь стало возможным настраивать несколько таких интеграций, синхронизируя разные Base DN.
Значительная часть улучшений произошла в среде логирования. В R-Vision SENSE появился отдельный сервис для централизованного логирования процессов всех модулей и сервисов системы, с помощью которого пользователю станет проще собирать необходимую сервисную информацию. Покрытие логами коснулось всех критичных сервисов, относящихся к работе платформы. Появился функционал системных уведомлений – теперь платформа будет оповещать пользователя обо всех важных событиях в пользовательском интерфейсе.
Также разработчики расширили функциональность работы с дашбордами, оптимизировали процесс работы с агрегированной сущностью «Пользователь» и улучшили таймлайн. Кроме того, в карточке пользователей появилась история изменений – все обновления объекта теперь отражаются в соответствующей вкладке.
«В новой версии R-Vision SENSE нам удалось автоматизировать большой блок работы пользователя с системой, в частности, с инструментами поведенческого анализа. Как результат, с конечного пользователя снялась нагрузка о принятии решения и организации процессов дообучения или переобучения — мы адаптировали систему к самостоятельному обучению. Кроме того, такой процесс позволяет адекватно и своевременно реагировать на изменения инфраструктуры, что является основой поведенческого анализа, — отметил Виктор Никуличев, менеджер продукта R-Vision SENSE. — Следующими шагами для улучшения будут расширение аналитических способностей платформы - простых правил и экспертов, а также функциональных возможностей для пользователя, в том числе по работе с аналитическими инструментами и ретроспективному анализу».