SIEM
Security Information and Event Management

# SIM, SEM, SIEM, SOC, СЗИ, события ИБ, корреляция, инциденты, NIST, MITRE

Обзор продукта

Security Vision SIEM автоматизирует поиск и анализ «сырых» событий для своевременного обнаружения угроз и инцидентов с применением корреляционного No-code движка и 1200+ правил «из коробки».

Решение агрегирует все события для обработки в едином интерфейсе, предоставляя специалистам полную картину: карточки, списки, интерактивные виджеты, дашборды, графы связей и другие компоненты конструктора аналитики для изучения, применения гипотез и формирования отчётности.

Применение продукта

Сбор и агрегация данных из любых источников

Реализация ключевых процессов мониторинга и реагирования для компаний любого масштаба: 150+ интеграций «из коробки» дополнены маркетплейсом для поиска и импорта, а также конструктором коннекторов для любых источников вне зависимости от вендора (конкурентные лицензии) и способа передачи (полный набор транспортов).

Корреляция и продвинутый анализ

Обработка событий и выявление алертов, указывающих на попытки реализации угроз ИБ с покрытием более 75% техник MITRE ATT&CK. Встроенный движок корреляции с масштабным набором правил «из коробки» и возможностью создавать собственные с условиями, фильтрами, последовательностями и учётом веса каждого события (без ограничений по количеству и составу).

Синхронизация, очистка и нормализация данных

При поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки, в т.ч. когда отсутствие ожидаемого события является сигналом, или когда обработка большого количества EPS требует минимального «железа».

Примеры и интеграции

Управление активами и инвентаризацией

Сканирование, идентификация и инвентаризация формирует единую актуальную витрину IT-активов. Модуль собирает информацию о хостах, серверах, ИТ-системах, СЗИ и сервисах, выполняет их категорирование по критичности и ролям с построением полноценной ресурсно-сервисной моделью.

Аналитик при расследовании инцидентов получает полный контекст того, какой именно актив затронут, к какому сегменту он относится и какое бизнес-значение имеет. Единая модель данный во всех модулях платформы Security Vision позволяет применять собранные данные не только в практических целях реагирования, но и стратегической безопасности, аудита и комплаенса, риск-ориентированных SOC или центров обработки больших данных.

Система способна проводить сканирование активов без прямого соединения с их сетевыми сегментами: для этих целей устанавливается отдельная выделенная компонента сервиса коннекторов, через которую (или через цепочку подобных сервисов) происходит обнаружение и сбор данных по активам с удаленных сегментов сети.

Сбор событий из множества источников данных

Система выполняет сбор событий от источников через удаленное подключение или с помощью агентов, в т.ч. автономных, которые получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удаленный сбор данных может осуществляться без прямого доступа к конечным устройствам с центрального сервера – через цепочку отдельных сервисов коннекторов, распределенных по отдельным сегментам корпоративной сети.

В продукт заложены готовые профили для различных методов сбора для всех популярных источников журналов:

1) Syslog;
2) Event log;
3) WMI;
3) JDBC/ODBC, SQL БД;
4) HTTP и DNS;
5) Docker и Kubernetes;
и др. сервисы, ИТ-системы и СЗИ.

Полная управляемость и прозрачность

Для не типовых сценариев схемы нормализации в коннекторах можно редактировать и создавать новые в режиме No-Code.

Дополнительное обогащение и вычисление итоговых значений в переменных в реальном времени позволяют легко адаптироваться под любую инфраструктуру и обладает низким порогом вхождения для специалистов (не требует писать скрипты или использовать сложные языки команд).

Функционал управления белыми и чёрными списками программного обеспечения и построения маршрутов достижимости между активами на основе таблиц маршрутизации и ACL-листов позволяет оценивать:

• состав стратегических систем;
• то, как инцидент на одном узле может повлиять на другие системы;
• насколько велика вероятность достижения критических активов;
• какие точки изоляции будут наиболее эффективными.

Встроенное реагирование

Для проведения расследования инцидентов, в продукте предусмотрена карточка инцидента, в которой аналитику доступны:

• Информация о связанных активах с возможностью выполнять действия по реагированию прямо из карточки инцидента;
• сведения о выявленных артефактах (например: процесс, внешний IP, URL и др.);
• экспертные рекомендации по шагам реагирования на данный инцидент;
• чат для взаимодействия с коллегами и группой реагирования;
• данные об исходных алертах и событиях;
• управление задачами (в т.ч. во внешних ITSM с двусторонней интеграцией);
• возможность отправки и получения электронных писем, отправка сообщений в мессенджеры.

Искусственный интеллект

В составе продукта предусмотрен ряд встроенных ML-моделей:

• скоринг False Positive, с обучением на данных по закрытым инцидентам: при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми с вердиктом False Positive и выдает результат в виде процентного соответствия;
• поиск похожих: модель анализирует контекст инцидента ищет и показывает похожие кейсы, что позволяет аналитику как увидеть подобные инциденты, которые сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом;
• оценка критичности, с оценкой на основе признаков, отражающих массовость и значимость затронутых активов с учетом контекста, связанных с инцидентом алертов.

Поддерживаются и интеграции со сторонними ИИ:

• Yandex GPT;
• ChatGPT (OpenAI);
• DeepSeek;
и любые другие внешние LLM-модели с доступом к ним из единого чата для коммуникации в карточках объектов.

Результаты работы всех ML моделей доступны в карточке инцидента для удобного расследования и реагирования.

Визуализация и реагирование

Атаки и входящие в них инциденты при помощи графов связей указывают на вовлечённые объекты и включают рекомендации экспертов для интерактивного реагирования. Графы и табличные представления позволяют запускать различные команды реагирования во время работы аналитика, например:

• отправка и вывод объекта из карантина;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.

Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.