О продукте
Платформа мониторинга угроз R-Vision UEBA осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.
Аналитические инструменты R‑Vision UEBA позволяют своевременно выявить признаки атаки, приоритизировать угрозы и анализировать всю последовательность аномальных событий.
Решаемые задачи
-
Выявление аномалий, которые неочевидны для классических правил детектирования SIEM-систем
Применение встроенных в UEBA алгоритмов, которые используют методы статистического анализа и машинного обучения (ML) помогает в выявление аномалий и угроз в потоке событий.
-
Анализ нелегитимных действий, связанных с конкретным объектом
Инструменты анализа, заложенные в продукт, изучают поведение объектов (пользователь, учетная запись, оборудование), формируют профили нормального поведения и фиксируют любую подозрительную активность, связанную с объектом.
-
Получение полного контекста по объекту при расследовании инцидента
Средства визуализации отображают всю активность по объекту и связанные с ним сущности, помогают провести детальный анализ событий и понять причины возникновения аномалии.
Как работает?
Платформа мониторинга угроз R-Vision UEBA осуществляет агрегацию событий информационной безопасности из различных источников. Далее проводит комплексный анализ собранных событий, изучая поведение объектов и схожих групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Подробная информация об угрозах и инцидентах сохраняется в виде временной шкалы, на которой отмечаются аномалии. В дальнейшем сформированный алерт передается в систему R‑Vision SOAR для реагирования на инцидент и предотвращения угрозы.
Система программных экспертов
Эффективное детектирование достигается за счет использования программных экспертов. В процессе работы программные эксперты можно дообучить и переобучить по задаваемым интервалам. Совместное использование простых правил и системы программных экспертов обеспечивает:
-
Мониторинг событий авторизации
-
Мониторинг почтового трафика
-
Мониторинг запуска процессов
-
Мониторинг доступа процессов к файлам
-
Определение DGA и look-a-like доменов
-
Выявление аномалий в соединениях VPN
Мониторинг событий авторизации
Мониторинг почтового трафика
Мониторинг запуска процессов
Мониторинг доступа процессов к файлам
Определение DGA и look-a-like доменов
Выявление аномалий в соединениях VPN
-
Система программных экспертов
Эффективное детектирование достигается за счет использования программных экспертов.
В процессе работы программные эксперты получают информацию из событий и формируют профили поведения объектов наблюдения, по которым при анализе находят отклонения. А дополнительные настройки программных экспертов делают процесс детектирования аномалий более точным и помогают учитывать основные векторы атак.
-
Динамическая оценка угроз и аномалий
Позволяет рассчитать рейтинг опасности контролируемых объектов. При обнаружении подозрительной активности рейтинг объекта увеличивается, и в случае превышения допустимого уровня аналитик получит оповещение об угрозе. Изменения рейтингов по всем объектам можно также отслеживать в реальном времени на дэшбордах. Динамическая оценка помогает своевременно заметить значимые отклонения в состоянии безопасности и приоритизировать угрозы для реагирования.
-
Объектно-центричный подход
Платформа R‑Vision UEBA осуществляет комплексный анализ событий безопасности, используя данные из различных источников. События безопасности анализируются не сами по себе, а в отношении конкретных объектов: пользователей, рабочих станций, файлов, учетных записей, сервисов и т.д. Такой объектно-центричный подход позволяет сформировать профили нормального поведения и фиксировать подозрительную активность в случае малейших отклонений, видеть зарождающиеся угрозы и атаки.
-
Таймлайн
Подробная информация об угрозах и инцидентах сохраняется в виде таймлайна – временной шкалы, на которой отмечаются аномалии, выстраивается последовательность связанных событий и контекст. Таймлайн значительно упрощает расследование инцидентов, восстановление хронологии атаки и выявление проблем в защите для устранения.