Новости — страница публикации Новости — страница публикации
18 марта 2026

R-Vision выпустил обновления R‑Vision SIEM 2.6‑2.7

Поделиться
vk tg
Обновления в продукте затрагивают поиск по событиям и визуализацию, аудит источников, настройку конвейеров, а также добавляют новые возможности для профилирования корреляции.

Корреляция

Исключения в правилах корреляции

В новой версии R‑Vision SIEM появилась функциональность для быстрого добавления исключений в работу корреляции. Для управления обработкой корреляционных событий коррелятор поддерживает механизм исключений на основе черного и белого списков. Этот механизм позволяет по-разному обрабатывать события, связанные с запрещенными и доверенными сущностями, например IP-адресами, пользователями или хостами.

Исключения вносятся пользователем вручную через редактирование активного списка или в разделе «Поиск по событиям» с помощью конструктора исключений. Конструктор позволяет выбрать атрибуты события для создания правила исключения в полу-автоматическом режиме.

Инструмент исключений необходим для профилирования SIEM-системы под особенности заказчика, он позволяет снизить количество ложных срабатываний, разгрузить первую линию SOC и сфокусировать его на реальных угрозах.

Массовое обновление правил

Добавлена возможность централизованного обновления правил агрегации, сегментации, корреляции и нормализации. Функциональность позволяет выполнять обновление правил на нескольких конвейерах одновременно прямо из раздела экспертизы. Это уменьшает объем рутинных действий оператора системы, что снижает трудозатраты на поддержку и минимизирует вероятность ошибки при обновлениях экспертизы.

Аудит источников

Аудит источников претерпел значительные изменения. Функциональность обогатили новыми механиками расчета и возможностями для настройки.

Теперь пользователям R‑Vision SIEM доступен новый тип политики аудита источников – «По маске». Такая политика определяет источник по уникальному сочетанию полей события. Это позволяет идентифицировать источники с высокой точностью, даже если они приходят из одной системы-отправителя, например WEC.

Кроме того, добавлена новая механика расчета отклонения по скользящему среднему. Эта механика анализирует среднее значение EPS источника, в котором величина порога определяется в процентном соотношении от входящего EPS. Таким образом, пороги для каждого источника выставляются автоматически под их средний EPS.

Также при добавлении или изменении точек входа можно точечно отключать аудит источников. Это позволяет исключать из политик аудита неактуальные элементы конвейера, снижать нагрузку на систему и оптимизировать затраты на обработку данных.

В результате обновление повышает точность контроля источников и помогает эффективнее выявлять аномалии, снижая долю ложных срабатываний.

Инструменты поиска и визуализации

Панель групп в поиске

Для запросов с группировкой теперь отображается панель групп с возможностью проваливаться в список событий каждой из групп. Для всех запросов с GROUP BY окно работы с событиями автоматически делится на две зоны: слева — группы результатов, справа — список событий. Это повышает комфорт работы аналитика с данными и сокращает время при расследовании инцидентов, составлении правил корреляции по событиям или операциях Threat Hunting.

Поиск по нескольким хранилищам

Появилась возможность выполнять поиск одновременно по нескольким хранилищам из нескольких баз, что ускоряет анализ в распределённых инсталляциях и сокращает время подготовки отчётности.

Фильтрация по полям JSON

Поддержана фильтрация по вложенным полям (кроме массивов) с операторами =, !=, LIKE. В RQL добавлены функции преобразования типов для более точной фильтрации. Это расширяет возможности поиска по полям типа JSON и повышает скорость выполнения таких запросов при работе с неструктурированными данными.

Карты в дашбордах

Добавлены виджеты:

  • Карта с группировкой — отображает данные в виде кластеров точек с близкими координатами;
  • Карта стран мира — показывает данные, сгруппированные по странам.

Геовизуализация открывает новые возможности для построения обзорных витрин мониторинга для SOC, что повышает наглядность.

Дополнительные улучшения

  • Интеграция с R-Vision TIP: конечная точка R‑Vision TIP передаёт события для извлечения индикаторов компрометации (IOC), автоматизируя обогащение данных и усиливая проактивную защиту.
  • Новая точка входа MongoDB: сбор логов приложений из базы данных для последующей обработки в SIEM.
  • Управление пространством у коллектора: при импорте доступен выбор подключения; для выключенного коллектора — смена пространства. Это упрощает миграции и работу в гибридных средах.
  • Обновление «Быстрый старт»: при развёртывании системы автоматически создаются предустановленные сущности — примеры конвейеров, демо-пакет экспертизы, базовые и корреляционные события, пресеты дашбордов. SIEM готова к демонстрации сразу после установки, что ускоряет онбординг команд и пилотные проекты.

В релизах R-Vision SIEM 2.6 и 2.7 мы добавили очень важные пользовательские функции, которые касаются работы аналитика SIEM.

Обновление оптимизирует действия пользователя и значительно расширяет возможности для работы с событиями, профилирования коррелятора и мониторинга источников.

Это помогает корректно настраивать SIEM, экономит ресурсы сотрудников на действия в системе и фокусирует SOC на реальных угрозах.

Виктор Никуличев
Руководитель продукта R‑Vision SIEM
Читайте также:
11 марта 2026
Новость
R-Vision расширил пакеты экспертизы для R‑Vision SIEM
7 минут
20 октября 2025
Новость
Обновление R-Vision SIEM: оценка покрытия MITRE ATT&CK, активное реагирование на агентах и аналитические инструменты нового уровня
6 минут