Роман Душков, Security Vision
Начинаем публикацию Серии «"Фишки" Security Vision», чтобы познакомить вас с интересными решениями в наших продуктах, позволяющими максимально эффективно решать актуальные задачи. Первый материал посвящен общим аспектам платформы.
Изначально единый продукт и взаимосвязь любых объектов
При использовании разных продуктов возникает потребность переключаться между их интерфейсами. Security Vision решили эту задачу организацией единой БД, в которой все объекты взаимосвязаны. Теперь нет необходимости переходить в другие разделы, осуществлять поиск, чтобы получить нужный контент.
Такая возможность позволяет оператору SOC получать более глубокую аналитику по активу, с которым связан инцидент или уязвимость, и тут же перейти к его классификации и оценке рисков.
Адаптация под любую архитектуру и готовность к нагрузке
Есть два основных варианта реализации распределенного кластера:
1. Основной сервер в центре + удаленное устанавливаются сервисы коннекторов, через которые идет сбор данных и удаленной взаимодействие с целевыми системами.
2. Несколько полноценных инсталляций, между которыми настраивается синхронизация через API.
Это позволяет распределить нагрузку между потоками данных и организовать масштабный SOC с геораспределенной инфраструктурой. Конкретные сервисы коннекторов и обработки данных также масштабируются для параллельной работы 500-1000 рабочих процессов.
Парсинг большого объема данных форматов JSON и XML
Обычно при анализе данных большого объема программные продукты требуют большего запаса оперативной памяти и скорости работы ЦП. Платформа Security Vision не завышает требования к «железу», выстроив возможность парсинга больших файлов по частям.
Это позволяет работать с большими отчетами об уязвимостях или просто файлами с полезной информацией большого объема без «тормозов» и необходимости закупать «железо» в процессе эксплуатации.
Гранулярная очистка старых данных
Характеристики «железа» или параметров виртуальных машин, на которых разворачиваются ИТ и ИБ системы, могут изменяться со временем, поэтому для адаптации важно использовать не только современные архитектуры (разделять отдельные процессы или дублировать модули), но и управлять загрузкой постоянной памяти.
Платформа Security Vision позволяет не только управлять базой данных средствами встроенных или внешних СУБД (например, горячее резервирование в PosgreeSQL), но и вычищать старые данные прямо в настройках платформы, при этом правила настраиваются для разных типов объектов, процессов, журналов и отчётов.
