Вернуться назад

R‑Vision UEBA

Продвинутая аналитика для обнаружения угроз и аномалий

R‑Vision UEBA

О продукте

R‑Vision User and Entity Behavior Analytics (UEBA) – программный продукт, который осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы Log Management, SIEM и конечные устройства.

Аналитические инструменты R‑Vision UEBA позволяют своевременно выявить признаки атаки, приоритизировать угрозы и анализировать всю последовательность аномальных событий.

Какие задачи решает R‑Vision UEBA

  • Выявление аномалий, которые неочевидны для классических правил детектирования SIEM-систем

    Применение встроенных в UEBA алгоритмов, которые используют методы статистического анализа и машинного обучения (ML) помогает в выявление аномалий и угроз в потоке событий.

  • Анализ нелегитимных действий, связанных с конкретным объектом

    Инструменты анализа, заложенные в продукт, изучают поведение объектов (пользователь, учетная запись, оборудование), формируют профили нормального поведения и фиксируют любую подозрительную активность, связанную с объектом.

  • Получение полного контекста по объекту при расследовании инцидента

    Средства визуализации отображают всю активность по объекту и связанные с ним сущности, помогают провести детальный анализ событий и понять причины возникновения аномалии.

Как работает?

R‑Vision UEBA осуществляет агрегацию событий информационной безопасности из различных источников. Далее проводит комплексный анализ собранных событий, изучая поведение объектов и схожих групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Подробная информация об угрозах и инцидентах сохраняется в виде временной шкалы, на которой отмечаются аномалии. В дальнейшем сформированный алерт передается в систему R‑Vision SOAR для реагирования на инцидент и предотвращения угрозы.

Схема работы R‑Vision UEBA

Преимущества

  • Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах

    Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах

  • Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак

    Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак

  • Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска

    Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска

  • Использование тамлайна для анализа инцидентов и восстановления последовательности событий

    Использование тамлайна для анализа инцидентов и восстановления последовательности событий

Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах

Непрерывный контроль и выявление изменений в состоянии безопасности, раннее предупреждение об угрозах
Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак

Обнаружение скрытых и неочевидных угроз детектирование ранее неизвестных атак
Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска

Приоритизация критичности угроз и аномалий, фокус внимания на объектах с высокими показателями риска
Использование тамлайна для анализа инцидентов и восстановления последовательности событий

Использование тамлайна для анализа инцидентов и восстановления последовательности событий
  • Система программных экспертов

    Система программных экспертов

    Эффективное детектирование достигается за счет использования программных экспертов.

    В процессе работы программные эксперты получают информацию из событий и формируют профили поведения объектов наблюдения, по которым при анализе находят отклонения. А дополнительные настройки программных экспертов делают процесс детектирования аномалий более точным и помогают учитывать основные векторы атак.

  • Динамическая оценка угроз и аномалий

    Позволяет рассчитать рейтинг опасности контролируемых объектов. При обнаружении подозрительной активности рейтинг объекта увеличивается, и в случае превышения допустимого уровня аналитик получит оповещение об угрозе. Изменения рейтингов по всем объектам можно также отслеживать в реальном времени на дэшбордах. Динамическая оценка помогает своевременно заметить значимые отклонения в состоянии безопасности и приоритизировать угрозы для реагирования.

  • Объектно-центричный подход

    R‑Vision UEBA осуществляет комплексный анализ событий безопасности, используя данные из различных источников. События безопасности анализируются не сами по себе, а в отношении конкретных объектов: пользователей, рабочих станций, файлов, учетных записей, сервисов и т.д. Такой объектно-центричный подход позволяет сформировать профили нормального поведения и фиксировать подозрительную активность в случае малейших отклонений, видеть зарождающиеся угрозы и атаки.

  • Таймлайн

    Подробная информация об угрозах и инцидентах сохраняется в виде таймлайна – временной шкалы, на которой отмечаются аномалии, выстраивается последовательность связанных событий и контекст. Таймлайн значительно упрощает расследование инцидентов, восстановление хронологии атаки и выявление проблем в защите для устранения.

Материалы

Блог

Запрос на демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение? Отправьте запрос и мы свяжемся с вами.