![R‑Vision UEBA](/storage/2024/06/19/7HM0EcuiHzYXR1GM5eBnfeOkSzpyjy11TaX0louM.jpg)
![](/storage/cache/875_580/2021/09/08/pz5PhlFJb6bK36EyxDhwSuyI0A8UomRB1HVD0Uzp.jpg)
О продукте
R‑Vision User and Entity Behavior Analytics (UEBA) – программный продукт, который осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.
Аналитические инструменты R‑Vision UEBA позволяют своевременно выявить признаки атаки, приоритизировать угрозы и анализировать всю последовательность аномальных событий.
Какие задачи решает R‑Vision UEBA
-
Выявление аномалий, которые неочевидны для классических правил детектирования SIEM-систем
Применение встроенных в UEBA алгоритмов, которые используют методы статистического анализа и машинного обучения (ML) помогает в выявление аномалий и угроз в потоке событий.
-
Анализ нелегитимных действий, связанных с конкретным объектом
Инструменты анализа, заложенные в продукт, изучают поведение объектов (пользователь, учетная запись, оборудование), формируют профили нормального поведения и фиксируют любую подозрительную активность, связанную с объектом.
-
Получение полного контекста по объекту при расследовании инцидента
Средства визуализации отображают всю активность по объекту и связанные с ним сущности, помогают провести детальный анализ событий и понять причины возникновения аномалии.
Как работает?
R‑Vision UEBA осуществляет агрегацию событий информационной безопасности из различных источников. Далее проводит комплексный анализ собранных событий, изучая поведение объектов и схожих групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Подробная информация об угрозах и инцидентах сохраняется в виде временной шкалы, на которой отмечаются аномалии. В дальнейшем сформированный алерт передается в систему R‑Vision SOAR для реагирования на инцидент и предотвращения угрозы.
![Схема работы R‑Vision UEBA](/storage/2024/05/13/VeZl4GKmLVMyNTmFy5k95fZ85LowTwiBgDSoJ4Bz.jpg)
Преимущества
-
Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах
-
Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак
-
Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска
-
Использование тамлайна для анализа инцидентов и восстановления последовательности событий
![Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах](/storage/2023/05/18/trPsVMqwBYklKkBQNro1BikkLgUaoVb9A3NFjb5h.png)
Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах
![Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак](/storage/2023/05/18/QVe9tjyeNg9s4wOQqVf23c7XtFBF8U9E13111EKJ.png)
Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак
![Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска](/storage/2023/05/18/1O7qfSthI7NvYuX6fwuN39x5gVnfrSsCgC62flCK.png)
Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска
![Использование тамлайна для анализа инцидентов и восстановления последовательности событий](/storage/2023/05/18/nAhEKhJkcRu6bdFe3QgHLQbwrA9asIhlWNpDliFP.png)
Использование тамлайна для анализа инцидентов и восстановления последовательности событий
-
Система программных экспертов
Эффективное детектирование достигается за счет использования программных экспертов.
В процессе работы программные эксперты получают информацию из событий и формируют профили поведения объектов наблюдения, по которым при анализе находят отклонения. А дополнительные настройки программных экспертов делают процесс детектирования аномалий более точным и помогают учитывать основные векторы атак.
-
Динамическая оценка угроз и аномалий
Позволяет рассчитать рейтинг опасности контролируемых объектов. При обнаружении подозрительной активности рейтинг объекта увеличивается, и в случае превышения допустимого уровня аналитик получит оповещение об угрозе. Изменения рейтингов по всем объектам можно также отслеживать в реальном времени на дэшбордах. Динамическая оценка помогает своевременно заметить значимые отклонения в состоянии безопасности и приоритизировать угрозы для реагирования.
-
Объектно-центричный подход
R‑Vision UEBA осуществляет комплексный анализ событий безопасности, используя данные из различных источников. События безопасности анализируются не сами по себе, а в отношении конкретных объектов: пользователей, рабочих станций, файлов, учетных записей, сервисов и т.д. Такой объектно-центричный подход позволяет сформировать профили нормального поведения и фиксировать подозрительную активность в случае малейших отклонений, видеть зарождающиеся угрозы и атаки.
-
Таймлайн
Подробная информация об угрозах и инцидентах сохраняется в виде таймлайна – временной шкалы, на которой отмечаются аномалии, выстраивается последовательность связанных событий и контекст. Таймлайн значительно упрощает расследование инцидентов, восстановление хронологии атаки и выявление проблем в защите для устранения.
Блог
-
О платформе R‑Vision SENSE в формате короткого видео
-
R‑Vision SENSE: снижение ложных срабатываний за счет применения поведенческих моделей
-
Инструменты анализа R-Vision SENSE: простые правила и программные эксперты
-
R‑Vision UEBA 1.14: еще больше возможностей при обнаружении угроз и расследовании инцидентов