«Фишки» Security Vision: общее

Роман Душков, Security Vision

Начинаем публикацию Серии «"Фишки" Security Vision», чтобы познакомить вас с интересными решениями в наших продуктах, позволяющими максимально эффективно решать актуальные задачи. Первый материал посвящен общим аспектам платформы.

Изначально единый продукт и взаимосвязь любых объектов

При использовании разных продуктов возникает потребность переключаться между их интерфейсами. Security Vision решили эту задачу организацией единой БД, в которой все объекты взаимосвязаны. Теперь нет необходимости переходить в другие разделы, осуществлять поиск, чтобы получить нужный контент.

Такая возможность позволяет оператору SOC получать более глубокую аналитику по активу, с которым связан инцидент или уязвимость, и тут же перейти к его классификации и оценке рисков.

Адаптация под любую архитектуру и готовность к нагрузке

Есть два основных варианта реализации распределенного кластера:

1. Основной сервер в центре + удаленное устанавливаются сервисы коннекторов, через которые идет сбор данных и удаленной взаимодействие с целевыми системами. 

2. Несколько полноценных инсталляций, между которыми настраивается синхронизация через API.

Это позволяет распределить нагрузку между потоками данных и организовать масштабный SOC с геораспределенной инфраструктурой. Конкретные сервисы коннекторов и обработки данных также масштабируются для параллельной работы 500-1000 рабочих процессов.

Парсинг большого объема данных форматов JSON и XML

Обычно при анализе данных большого объема программные продукты требуют большего запаса оперативной памяти и скорости работы ЦП. Платформа Security Vision не завышает требования к «железу», выстроив возможность парсинга больших файлов по частям.

Это позволяет работать с большими отчетами об уязвимостях или просто файлами с полезной информацией большого объема без «тормозов» и необходимости закупать «железо» в процессе эксплуатации.

Гранулярная очистка старых данных

Характеристики «железа» или параметров виртуальных машин, на которых разворачиваются ИТ и ИБ системы, могут изменяться со временем, поэтому для адаптации важно использовать не только современные архитектуры (разделять отдельные процессы или дублировать модули), но и управлять загрузкой постоянной памяти.

Платформа Security Vision позволяет не только управлять базой данных средствами встроенных или внешних СУБД (например, горячее резервирование в PosgreeSQL), но и вычищать старые данные прямо в настройках платформы, при этом правила настраиваются для разных типов объектов, процессов, журналов и отчётов.