Компания R-Vision представила новую версию флагманского продукта R-Vision SIEM 1.8 с расширенной функциональностью. В новой версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.
Новый уровень контроля над источниками событий
В новой версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.
Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.
Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.
Мониторинг работоспособности Kubernetes
Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.
В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.
Интеграция с системами каталогов
Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:
- Аутентифицировать пользователей, используя внешние службы каталогов.
- Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.
- Управлять ролями и разрешениями пользователей, импортированных из внешних каталогов.
Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.
Улучшение базовой функциональности в R-Vision SIEM 1.8
Разработчик улучшил базовую функциональность системы R-Vision SIEM 1.8, добавив две новые функции:
- Экспорт и импорт дашбордов.
Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.
- Шаблоны сообщений для SMTP-интеграции.
При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.
Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.
«Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На данный момент пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи», — подчеркнул Виктор Никуличев, продакт-менеджер R-Vision.
