29/05/25
Компания R-Vision представила новую версию своей системы управления событиями информационной безопасности — R-Vision SIEM 2.3. Обновление направлено на упрощение эксплуатации в географически распределённых инфраструктурах, повышение гибкости сбора данных и усиление контроля доступа к событиям.
Централизованное управление архитектурой сбора данных
В версии 2.3 появилась поддержка пространств и сервисов: теперь можно централизованно управлять кластерами SIEM и подключать территориально-удалённые сегменты. Встроенный менеджер пространств позволяет напрямую из интерфейса SIEM подключать внешние узлы и управлять их конфигурацией. В пространстве можно создавать коллекторы и настраивать на них полный цикл обработки событий: сбор, нормализацию, фильтрацию, корреляцию и перенаправление событий. Это особенно актуально для компаний с распределённой инфраструктурой — например, организация с центральной инсталляцией системы в Москве может оперативно управлять и контролировать работу кластеров в других регионах без необходимости локального вмешательства.
Также в элементы конвейера добавлены новые коннекторы типа Global Bus. Это специальные шины данных для бесшовного обмена данными между коллекторами, в том числе находящимися в разных пространствах.
Управление агентами и сбор с конечных устройств
В систему интегрирован менеджер агентов — специальный компонент для централизованного управления жизненным циклом агентов R-Vision Endpoint, политиками и процессами сбора событий. Это позволяет эффективно собирать данные как из системных журналов и файлов, так и напрямую с рабочих станций и серверов на всех ключевых платформах: Linux, Windows и macOS.
Управление доступом к событиям: ABAC-подход
Важное изменение коснулось и аспектов безопасности: в новой версии реализован механизм разграничения доступа к событиям (ABAC). Новая функциональность позволяет настраивать политики доступа к событиям в хранилищах на основе атрибутов событий с помощью языка запросов RQL. Это повышает гибкость и возможности для соответствия внутренним требованиям по контролю доступа. Одна политика может распространяться на несколько ролей и хранилищ событий и содержать несколько правил.
Виктор Никуличев, руководитель продукта R-Vision SIEM: «Обновление 2.3 получилось насыщенным. Мы значительно расширили возможности системы для решения задач по сбору и управлению доступом в географически распределенных компаниях и холдингах. Кроме того, мы продолжаем расширять функциональность системы и улучшать опыт работы пользователя. Наша цель — сделать SIEM надежным и удобным помощником в работе аналитиков и инженеров SOC».
Расширение конструктора правил корреляции и нормализации
Одно из важных новшеств - добавление Глобальной функции, нового типа элемента экспертизы, который позволяет задать переиспользуемый блок кода на языке VRL. С помощью глобальной функции можно создавать шаблоны логики обработки событий для повторного использования в различных сценариях, тем самым упрощая настройку правил корреляции и нормализации.
Также значительные улучшения коснулись конструктора правил корреляции:
- появилась настройка фильтрации событий на основе активных списков, таблиц обогащения и глобальных функций;
- добавлены новые операторы сравнения: In, Like, =null, !=null;
- поддержана возможность возвращения к предыдущим версиям правил для нормализации, корреляции, агрегации и сегментации;
- добавлена настройка ограничений на интенсивность генерации событий: SIEM автоматически отключает правила корреляции, превышающие заданные лимиты по числу корреляционных окон или частоте срабатываний.
Повышение удобства и расширение интерфейса
В R-Vision SIEM 2.3 поддержано проведение массовых операций с оповещениями: выделенные оповещения можно закрыть или изменить их свойства, такие как уровень угрозы, статус, ответственный пользователь.
Для повышения удобства работы с системой в карточках активных списков и таблиц обогащения добавлена вкладка Связанные элементы, на которой отображаются правила нормализации и корреляции, в которых они используются.
Добавлен режим продвинутого поиска, поддерживающий проекции и группировку результатов. Он заменил собой функциональность раздела RQL-песочница.
В статистике по событиям можно подгружать значения за пределами топ-10, что снимает ограничения на глубину анализа.
Кроме этого, в релиз R-Vision SIEM 2.3 вошли и другие доработки, направленные на улучшение пользовательского опыта.
