Security Vision
Security Vision объявляет о выпуске обновления продукта SIEM — единой платформы для аналитики событий безопасности, предназначенной для компаний любого масштаба. Решение обеспечивает реализацию ключевых процессов мониторинга и реагирования на инциденты информационной безопасности:
• сбор и хранение событий от IT-активов;
• корреляцию событий и выявление алертов, указывающих на попытки реализации угроз ИБ;
• расследование и обработку инцидентов в едином рабочем контуре.
Продукт базируется на единой No-Code платформе Security Vision 5, что упрощает масштабирование и кастомизацию под потребности каждого Заказчика, а также дает возможности по расширения сценариев реагирования, в т.ч. за счёт бесшовной интеграции с другими продуктами линейки Security Vision.
Ключевые компоненты Security Vision SIEM
Сканирование, идентификация и инвентаризация IT-Активов
В составе Security Vision SIEM доступен полнофункциональный модуль Assets Management, который формирует единую актуальную витрину IT-активов. Модуль обеспечивает сканирование, идентификацию и инвентаризацию хостов и сервисов, управление группами активов и их категорирование по критичности и ролям. Это предоставляет Аналитику, при расследовании инцидентов, контекст того, какой именно актив затронут, к какому сегменту он относится и какое бизнес-значение имеет.
Система также умеет обнаруживать и проводить сканирование активов без прямого соединения с их сетевыми сегментами: для этих целей устанавливается отдельная выделенная компонента сервиса коннекторов, через которую (или через цепочку подобных сервисов) происходит обнаружение и сбор данных по активам с удаленных сегментов сети.
Дополнительно Assets Management включает в себя управление белыми и чёрными списками программного обеспечения, а также функционал построение маршрутов достижимости между активами на основе таблиц маршрутизации и ACL-листов. За счёт этого специалисты SOC могут оценивать, как инцидент на одном узле может повлиять на другие системы, насколько велика вероятность достижения критических активов и стратегических систем, какие точки изоляции будут наиболее эффективными.
Сбор событий из множества источников данных
Система выполняет сбор событий от источников через удаленное подключение или с помощью агентов. Дополнительно есть возможность использования автономных агентов, которые получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удаленный сбор данных может осуществляться без прямого доступа к конечным устройствам с центрального сервера – через цепочку отдельных сервисов коннекторов, распределенных по отдельным сегментам корпоративной сети.
Управление источниками событий реализовано на основе механизма управления задачами по типовым профилям, что дает возможность переиспользовать настройки и быстро масштабировать подключение новых источников. В продукт заложены готовые профили для различных методов сбора (например, WMI, Syslog, JDBC/DBC, HTTP).
В консоли управления задачами также доступна функциональность:
• автоматическая настройка и управление логированием на хостах;
• автоматическая установка и управление агентами.
По созданным задачам система визуализирует потоки событий на интерактивном графе, с отображением по каждому узлу объем полученных или отправленных данных и EPS. Система умеет отслеживать потоки от всех первичных источников событий, даже тех, сбор с которых организован централизованно через WEF или syslog. Таким образом обеспечивается детальный контроль полноты сбора, поиск узких мест и диагностика проблем.
Платформа включает механизмы оптимизации использования памяти и дискового пространства при хранении полученных событий. Например, для разных типов событий можно задать разные сроки хранения, или для отдельных типов отключить режим полного логирования и хранить только события, необходимые для работы правил корреляции.
Нормализация в формате No-Code
В продукт заложены схемы нормализации для всех популярных источников журналов (таких как Microsoft Server, Exchange Server, Syslog, DNS, VMware, 1C, Kubernetes, PostgreSQL и другие), что дает возможность быстрого подключения инфраструктуры Заказчика к SIEM и получения нормализованных событий.
При этом для не типовых сценариев, схемы нормализации в коннекторах можно редактировать и создавать новые в режиме No-Code, с использованием дополнительного обогащения и вычисления итоговых значений в переменных в реальном времени. Таким образом решение легко адаптируется под любую инфраструктуру и обладает низким порогом вхождения для специалистов.
Мощный корреляционный движок и богатая экспертиза правил
В Security Vision SIEM реализован производительный корреляционный движок и графический No-Code редактор правил корреляции, который не требует изучения какого-либо синтаксиса задания правил и условий, и обеспечивающий возможность по работе через графический интерфейс:
• строить правила с многоуровневой вложенностью условий фильтров;
• использовать сложные последовательности и условия соотношения блоков между собой, в том числе неограниченную вложенность билдинг-блоков различных типов;
• задавать условия для блоков и связок в цепочке, включая сценарии типа «отрицание» (когда отсутствие ожидаемого события является сигналом, в т.ч. и для первого события в цепочке – пример для golden ticket);
• при поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки.
Из коробки доступно более 1000 правил корреляции, покрывающих 73% техник MITRE ATT&CK. Все правила сопровождаются маппингом как на MITRE ATT&CK, так и на БДУ ФСТЭК.
Корреляционный движок способен работать под большими нагрузками (более 100K EPS) и существенно оптимизирован под работу на небольших используемых ресурсах.
Реагирование на инциденты
Для проведения расследования инцидентов, в продукте предусмотрена карточка инцидента, в которой аналитику доступны:
• Информация о связанных активах — с возможностью выполнять действия по реагированию прямо из карточки инцидента;
• Сведения о выявленных артефактах (например: процесс, внешний IP, URL и др.);
• Экспертные рекомендации по шагам реагирования на данный инцидент;
• Чат для взаимодействия с коллегами и группой реагирования;
• Данные об исходных алертах и событиях;
• Функционал создания задач в том числе во внешних ITSM с двусторонней интеграцией, возможность отправки и получения электронных писем, отправка сообщений в мессенджеры.
Такой набор дает возможность выполнить базовые действия по реагированию из единой консоли SIEM. Для расширенного реагирования доступна интеграция с продуктами Security Vision SOAR и NG SOAR.
В составе продукта предусмотрен ряд ML-моделей
• Скоринг False Positive - Модель обучается на данных по закрытым инцидентам и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми с вердиктом False positive и выдает результат в виде процентного соответствия;
• Похожие инциденты – модель анализирует контекст инцидента ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом;
• ML-скоринг критичности - сервис оценивает критичность инцидента на основе признаков, отражающих массовость и значимость затронутых активов с учетом контекста связанных с инцидентом алертов.
Результаты работы всех ML моделей доступны в карточке инцидента для удобного расследования и реагирования.
Ретроспективная проверка правил корреляции
В Security Vision SIEM доступна проверка правил корреляции на исторических данных: набор правил можно запустить по уже собранным событиям и увидеть, как бы оно отработало. Это упрощает контроль качества изменений и помогает находить следы ранее не выявленных атак после появления новых правил и гипотез, или корректировки условий, добавления новых IOC, проверок и т.д.
Единое окно мониторинга состояния
В составе продукта доступен набор дашбордов и отчетов, а также также встроенный конструктор, который позволяет в режиме No-code создавать собственные отчеты и дашборды, настраивать расписания по автоматической их выгрузке и отправке через любые каналы связи.
Отдельно реализован дашборд мониторинга, который сводит на одном экране ключевые метрики работы SIEM. Дашборд помогает быстро оценить текущее состояние и динамику изменения «здоровья» системы, выявить аномалии в потоке событий, проблемные источники и правила с повышенным шумом, чтобы оперативно принять меры.
Ключевые преимущества Security Vision SIEM
• Гибкий и управляемый сбор данных: встроенные профили и механизм задач позволяют быстро масштабировать подключение типовых источников;
• Нормализация популярных источников «из коробки» с возможностью кастомизации в режиме No-Code;
• Более 1000 правил корреляции покрывающих 73% техник MITRE ATTACK;
• Единая рабочая зона для расследования и реагирования: карточка инцидента объединяет события/алерты, артефакты, связанные объекты, рекомендации, коммуникации и задачи;
• Встроенная ML-аналитика: модели помогают сфокусировать внимание на наиболее важных инцидентах.
.jpg)
