Вернуться назад

R‑Vision UEBA

Платформа мониторинга угроз

R‑Vision UEBA

О продукте

Платформа мониторинга угроз R-Vision UEBA осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.

Аналитические инструменты R‑Vision UEBA позволяют своевременно выявить признаки атаки, приоритизировать угрозы и анализировать всю последовательность аномальных событий.

Решаемые задачи

  • Выявление аномалий, которые неочевидны для классических правил детектирования SIEM-систем

    Применение встроенных в UEBA алгоритмов, которые используют методы статистического анализа и машинного обучения (ML) помогает в выявление аномалий и угроз в потоке событий.

  • Анализ нелегитимных действий, связанных с конкретным объектом

    Инструменты анализа, заложенные в продукт, изучают поведение объектов (пользователь, учетная запись, оборудование), формируют профили нормального поведения и фиксируют любую подозрительную активность, связанную с объектом.

  • Получение полного контекста по объекту при расследовании инцидента

    Средства визуализации отображают всю активность по объекту и связанные с ним сущности, помогают провести детальный анализ событий и понять причины возникновения аномалии.

Как работает?

Платформа мониторинга угроз R-Vision UEBA осуществляет агрегацию событий информационной безопасности из различных источников. Далее проводит комплексный анализ собранных событий, изучая поведение объектов и схожих групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Подробная информация об угрозах и инцидентах сохраняется в виде временной шкалы, на которой отмечаются аномалии. В дальнейшем сформированный алерт передается в систему R‑Vision SOAR для реагирования на инцидент и предотвращения угрозы.

Схема работы R‑Vision UEBA

Система программных экспертов

Эффективное детектирование достигается за счет использования программных экспертов. В процессе работы программные эксперты можно дообучить и переобучить по задаваемым интервалам. Совместное использование простых правил и системы программных экспертов обеспечивает:

  • Мониторинг событий авторизации

    Мониторинг событий авторизации

  • Мониторинг почтового трафика

    Мониторинг почтового трафика

  • Мониторинг запуска процессов

    Мониторинг запуска процессов

  • Мониторинг доступа процессов к файлам

    Мониторинг доступа процессов к файлам

  • Определение DGA и look-a-like доменов

    Определение DGA и look-a-like доменов

  • Выявление аномалий в соединениях VPN

    Выявление аномалий в соединениях VPN

Мониторинг событий авторизации

Мониторинг событий авторизации
Мониторинг почтового трафика

Мониторинг почтового трафика
Мониторинг запуска процессов

Мониторинг запуска процессов
Мониторинг доступа процессов к файлам

Мониторинг доступа процессов к файлам
Определение DGA и look-a-like доменов

Определение DGA и look-a-like доменов
Выявление аномалий в соединениях VPN

Выявление аномалий в соединениях VPN
  • Система программных экспертов

    Система программных экспертов

    Эффективное детектирование достигается за счет использования программных экспертов.

    В процессе работы программные эксперты получают информацию из событий и формируют профили поведения объектов наблюдения, по которым при анализе находят отклонения. А дополнительные настройки программных экспертов делают процесс детектирования аномалий более точным и помогают учитывать основные векторы атак.

  • Динамическая оценка угроз и аномалий

    Позволяет рассчитать рейтинг опасности контролируемых объектов. При обнаружении подозрительной активности рейтинг объекта увеличивается, и в случае превышения допустимого уровня аналитик получит оповещение об угрозе. Изменения рейтингов по всем объектам можно также отслеживать в реальном времени на дэшбордах. Динамическая оценка помогает своевременно заметить значимые отклонения в состоянии безопасности и приоритизировать угрозы для реагирования.

  • Объектно-центричный подход

    Платформа R‑Vision UEBA осуществляет комплексный анализ событий безопасности, используя данные из различных источников. События безопасности анализируются не сами по себе, а в отношении конкретных объектов: пользователей, рабочих станций, файлов, учетных записей, сервисов и т.д. Такой объектно-центричный подход позволяет сформировать профили нормального поведения и фиксировать подозрительную активность в случае малейших отклонений, видеть зарождающиеся угрозы и атаки.

  • Таймлайн

    Подробная информация об угрозах и инцидентах сохраняется в виде таймлайна – временной шкалы, на которой отмечаются аномалии, выстраивается последовательность связанных событий и контекст. Таймлайн значительно упрощает расследование инцидентов, восстановление хронологии атаки и выявление проблем в защите для устранения.

Материалы

Запрос на демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение? Отправьте запрос и мы свяжемся с вами.