Контакты
Подписка 2025
Новости
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Обновление R-Vision SIEM 2.3: масштабируемый сбор и оптимизация работы в распределённых инфраструктурах

29/05/25

Р-вижн-May-29-2025-07-51-25-6773-AM

Компания R-Vision представила новую версию своей системы управления событиями информационной безопасности — R-Vision SIEM 2.3. Обновление направлено на упрощение эксплуатации в географически распределённых инфраструктурах, повышение гибкости сбора данных и усиление контроля доступа к событиям.

Централизованное управление архитектурой сбора данных
В версии 2.3 появилась поддержка пространств и сервисов: теперь можно централизованно управлять кластерами SIEM и подключать территориально-удалённые сегменты. Встроенный менеджер пространств позволяет напрямую из интерфейса SIEM подключать внешние узлы и управлять их конфигурацией. В пространстве можно создавать коллекторы и настраивать на них полный цикл обработки событий: сбор, нормализацию, фильтрацию, корреляцию и перенаправление событий. Это особенно актуально для компаний с распределённой инфраструктурой — например, организация с центральной инсталляцией системы в Москве может оперативно управлять и контролировать работу кластеров в других регионах без необходимости локального вмешательства.

Также в элементы конвейера добавлены новые коннекторы типа Global Bus. Это специальные шины данных для бесшовного обмена данными между коллекторами, в том числе находящимися в разных пространствах. 

Управление агентами и сбор с конечных устройств
В систему интегрирован менеджер агентов — специальный компонент для централизованного управления жизненным циклом агентов R-Vision Endpoint, политиками и процессами сбора событий. Это позволяет эффективно собирать данные как из системных журналов и файлов, так и напрямую с рабочих станций и серверов на всех ключевых платформах: Linux, Windows и macOS.

Управление доступом к событиям: ABAC-подход
Важное изменение коснулось и аспектов безопасности: в новой версии реализован механизм разграничения доступа к событиям (ABAC). Новая функциональность позволяет настраивать политики доступа к событиям в хранилищах на основе атрибутов событий с помощью языка запросов RQL. Это повышает гибкость и возможности для соответствия внутренним требованиям по контролю доступа. Одна политика может распространяться на несколько ролей и хранилищ событий и содержать несколько правил.

Виктор Никуличев, руководитель продукта R-Vision SIEM: «Обновление 2.3 получилось насыщенным. Мы значительно расширили возможности системы для решения задач по сбору и управлению доступом в географически распределенных компаниях и холдингах. Кроме того, мы продолжаем расширять функциональность системы и улучшать опыт работы пользователя. Наша цель — сделать SIEM надежным и удобным помощником в работе аналитиков и инженеров SOC».

Расширение конструктора правил корреляции и нормализации

Одно из важных новшеств - добавление Глобальной функции, нового типа элемента экспертизы, который позволяет задать переиспользуемый блок кода на языке VRL. С помощью глобальной функции можно создавать шаблоны логики обработки событий для повторного использования в различных сценариях, тем самым упрощая настройку правил корреляции и нормализации.

Также значительные улучшения коснулись конструктора правил корреляции:

  • появилась настройка фильтрации событий на основе активных списков, таблиц обогащения и глобальных функций;
  • добавлены новые операторы сравнения: In, Like, =null, !=null;
  • поддержана возможность возвращения к предыдущим версиям правил для нормализации, корреляции, агрегации и сегментации;
  • добавлена настройка ограничений на интенсивность генерации событий: SIEM автоматически отключает правила корреляции, превышающие заданные лимиты по числу корреляционных окон или частоте срабатываний.

Повышение удобства и расширение интерфейса

В R-Vision SIEM 2.3 поддержано проведение массовых операций с оповещениями: выделенные оповещения можно закрыть или изменить их свойства, такие как уровень угрозы, статус, ответственный пользователь.

Для повышения удобства работы с системой в карточках активных списков и таблиц обогащения добавлена вкладка Связанные элементы, на которой отображаются правила нормализации и корреляции, в которых они используются.

Добавлен режим продвинутого поиска, поддерживающий проекции и группировку результатов. Он заменил собой функциональность раздела RQL-песочница.

В статистике по событиям можно подгружать значения за пределами топ-10, что снимает ограничения на глубину анализа.

Кроме этого, в релиз R-Vision SIEM 2.3 вошли и другие доработки, направленные на улучшение пользовательского опыта.
Темы:Пресс-релизОтрасльSIEMР-вижн
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"