Компания R-Vision, российский разработчик систем кибербезопасности, выпустила мажорное обновление для продукта R-Vision SIEM 2.0. Вендор расширил функции детектирования и внедрил конструктор правил корреляции.
Разработчик добавил в R-Vision SIEM 2.0 конструктор правил корреляции. С его помощью создаются и изменяются правила корреляции в интерактивном режиме без использования редактора кода. Наглядный интерфейс и поэтапная визуализация процесса облегчают аналитикам создание необходимых правил.
Изменения затронули и элементы конвейера обработки событий. Эксперты R-Vision добавили основные метрики: «число ошибок», «принятые и отправленные события» в интерфейс конвейера. Теперь показатели для каждого элемента доступны сразу, без дополнительного перехода в детали. Новая функция помогает быстрее выявлять потенциальные ошибки и минимизировать потери поступающих событий.
В новой версии продукта вендор также добавил точку входа типа WMI, при помощи которой собираются журналы Windows с конечных станций, серверов и WEC (Windows Event Collector). Функция позволяет в одной точке входа настроить сбор сразу с нескольких журналов системы, что облегчает работу инженера по настройке источника.
Также в R-Vision SIEM 2.0 добавили раздел «Диспетчер запросов», который предназначен для сбора и хранения информации о пользовательских запросах в хранилище событий в разделах «Поиск», «RQL-песочница» и «Дашборды». В новом разделе аналитики могут работать с историей выполнения запросов и управлять ресурсами. Например, просматривать запросы, выполненные в дашбордах и оповещениях, и следить за тем, какие запросы нагружают хранилище. Кроме того, внесен функционал управления ресурсами, при помощи которого задаются ограничения на потребление памяти при выполнении RQL-запросов для разных ролей пользователей. Новые функции позволяют администраторам повысить отказоустойчивость системы.
«Накопленный опыт работы с заказчиками позволяет нам четко определять вектор развития продуктов. Анализируя потребности клиентов в ходе проектов, мы трансформируем R-Vision SIEM, чтобы он соответствовал высоким требованиям рынка. В результате мы создаем решения, которые удовлетворяют текущие потребности и предвосхищают будущие запросы заказчиков, обеспечивая им стабильную основу для повышения уровня кибербезопасности, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Это обновление — важный этап в развитии R-Vision SIEM. Мы переориентируем стратегию с накопления функционала на улучшение качества пользовательского опыта. Наша команда сосредоточится на совершенствовании инструментов аналитики и визуализации данных, а также на уменьшении Time-to-Value, чтобы пользователи могли быстрее получить максимальную пользу от продукта».
Дополнительно в R-Vision SIEM 2.0 внесены изменения, которые делают работу аналитика практичной и быстрой:
- Раздел «События» преобразован в «Поиск».
Помимо переформатирования добавили возможность поиска по активным спискам в этом разделе и в RQL-песочнице. Также в разделе «Поиск» добавлена подсветка полей в событиях, удовлетворяющих фильтру RQL-запроса.
- Новый режим «Статистика».
Появился новый режим — «Статистика», который позволяет анализировать данные по всем полям в списке найденных записей и событий. Разработчик детально проработал рейтинг значений — режим позволяет управлять сортировкой и сразу же подсказывает статистику по полям. Также режим «Статистика» позволяет работать со статистикой по нескольким атрибутам одновременно, что повышает скорость погружения аналитика.
- Новые виджеты.
Теперь в продукт появились виджеты по оповещениям и добавлены новые метрики по системе. Кроме того, в R-Vision SIEM разработчик встроил трехмерные гистограммы и возможность строить виджеты по данным из активных списков.