R-Vision представил масштабное обновление экспертизы для R-Vision SIEM.
Начиная с версии 2.4 в системе используется Универсальная Модель Событий 2.0 — стандарт для описания событий в SIEM, основанный на субъектно-объектном подходе и упрощающий анализ событий безопасности. Под модель команда экспертов выпустила 10 релизов с пакетами экспертизы с новым контентом: оптимизированными правилами нормализации и корреляции, а также улучшенной читаемостью событий и более качественным контекстом для расследований.
Обновленные правила нормализации ускоряют обработку событий до 45% за счёт проведённой оптимизации по сравнению с правилами для УМС 1.0. Для повышения консистентности событий введены поля категоризации: события из разных систем приводятся к единой семантике и классам действий, что сокращает время на ручную интерпретацию, а также ускоряет расследование и подготовку отчётности.
Актуальный контент пакетов обеспечивает покрытие матрицы MITRE ATT&CK v17.1 более чем на 65% за счёт маппинга правил корреляции на тактики и техники атакующих.
Больше контекста и управляемости в правилах корреляции
Правила корреляции теперь содержат расширенный набор полей, повышающих прозрачность и удобство эксплуатации системы для команд ИБ. Они включают указание необходимых источников данных, ссылки на разборы и аналитические материалы для быстрого погружения, связь с техниками и тактиками матрицы MITRE ATT&CK, а также таксономию инцидента с категорией, типом и уникальным идентификатором для передачи в SOAR-решения, а также рекомендации по реагированию в виде пошагового плана.
Корреляционное событие дополняется описанием на естественном языке, в котором указывается кто, когда, где и какие действия совершил. Каждое правило сопровождается unit-тестами с примерами эталонных событий.
Поддержка новых источников и индикаторов
В экспертизу от вендора добавлены правила для новых систем и сервисов. Правила нормализации покрывают более 250 источников из разных категорий — от операционных систем и средств защиты до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции для R-Vision SIEM превышает 850.
Вспомогательные материалы и открытая база знаний
Экспертиза также включает сопутствующие артефакты: таблицы обогащения, активные списки, витрины данных и конвейеры нормализации в виде импортируемых объектов. Часть материалов, включая конвейеры нормализации, доступна заказчикам публично в репозиториях. Доступен справочный портал по настройке источников событий как единое «входное окно» для инженеров и аналитиков. Также в открытом доступе публикуются аналитические материалы, подготовленные в процессе разработки правил корреляции.
«Мы убеждены, что корректное обнаружение угроз начинается именно с детального понимания природы событий безопасности, условий их формирования и индикаторов. Наши материалы помогают восстановить полную картину возможной атаки – от анализа «сырых» событий и используемых инструментов до логики построения правил детектирования», – прокомментировал Николай Рягин, руководитель управления исследований и аналитики, R-Vision.
