R‑Vision SIEM
Централизованное управление, анализ и корреляция событий ИБ
О продукте
R‑Vision SIEM — это технология для централизованного управления событиями в информационных системах, обеспечивающая безопасность и целостность бизнеса. R‑Vision SIEM обладает комплексным подходом к обработке событий безопасности на всех этапах работы с данными, что оптимизирует использование ресурсов компании.
Какие задачи решает R‑Vision SIEM
-
Своевременное выявление сложных угроз
Гибкие настройки моделей событий, правил нормализации и корреляции позволяют выявлять различные типы угроз
-
Формирование процесса централизованного сбора и управления потоками событий
Встроенный конвейер обработки событий позволяет выстроить прозрачный и гибкий процесс работы с потоками информации
-
Оперативное подключение новых источников
Наличие предустановленных шаблонов нормализации и большого перечня коннекторов к различным системам дает возможность в кратчайшие сроки подключать любые источники событий
Как работает
Сбор событий в R-Vision SIEM организован с помощью конвейера обработки событий, который помогает подключить источники для сбора данных. Далее, используя графический конструктор, систематизирует поступившую информацию и направляет ее на хранение или дальнейший анализ. Правила корреляции анализируют и выявляют угрозы среди потока поступающих событий. Таким образом, R-Vision SIEM обеспечивает комплексное управление событиями на всех этапах, начиная от сбора данных и заканчивая обнаружением инцидентов.
Преимущества R‑Vision SIEM
-
Сбор и анализ широкого спектра событий из различных систем
-
Управление хранилищем данных для минимизации излишних затрат
-
Многофункциональные правила обнаружения для выявления сложных кибератак
-
Выдерживаем высокие нагрузки до 500k EPS* для обеспечения стабильной работы
Сбор и анализ широкого спектра событий из различных систем
Управление хранилищем данных для минимизации излишних затрат
Многофункциональные правила обнаружения для выявления сложных кибератак
Выдерживаем высокие нагрузки до 500k EPS* для обеспечения стабильной работы
-
Конвейер обработки событий
Конвейер обработки событий реализован в удобном визуальном формате и помогает наглядно выстроить работу с потоком событий. Совокупность визуализации и языка VRL дает возможность легко обрабатывать события и управлять ими в зависимости от потребностей бизнеса.
-
Работа с различными моделями данных
Универсальная модель событий безопасности R-Vision имеет более 150 полей, учитывает разнообразные события и позволяет сотруднику SOC оперативно проводить анализ. Функционал управления моделями событий дает возможность расширять существующие и создавать полностью уникальные модели под ваши задачи.
-
Работа с правилами корреляции
Анализ событий происходит в режиме реального времени. Для создания правил корреляции используется простой язык VRL, который помогает создавать правила без ограничений в их логике. Есть встроенные подсказки и тестирование для оптимизации процесса разработки. Также есть функция версионирования для контроля разрабатываемого контента.
-
Управление объектами
В R-Vision SIEM представлены различные подходы к конфигурированию таких объектов как правила нормализации и корреляции, таблицы обогащения, активные списки, модели событий, конвейеры и дашборды. В зависимости от конкретных задач, вы можете воспользоваться как конструкторами с минимальными требованиями к кодированию (low code), так и редакторами, ориентированными на работу с кодом (as code). Это в сочетании с простым синтаксисом позволяет значительно ускорить и упростить разработку контента, а также организовать удобное обновление объектов внутри организации.
-
Оптимизация хранения
В R-Vision SIEM реализована адаптивная настройка времени и глубины хранения, что способствует оптимальному использованию текущих технических ресурсов. Возможность создания новых хранилищ событий и отслеживания состояния ресурсов в системе обеспечивает полный контроль над хранилищами данных и позволяет прогнозировать будущие потребности в оборудовании.