R-Vision расширил пакеты экспертизы для R-Vision SIEM

Правила корреляции дополнены расширенным контекстом и практическими рекомендациями по реагированию — это позволяет аналитикам SOC быстрее интерпретировать срабатывания и оперативно переходить к локализации угроз.

Универсальная Модель Событий (УМС 2.0)
Начиная с версии 2.4 в системе используется Универсальная Модель Событий 2.0 – это стандарт для описания событий в SIEM, основанный на субъектно-объектном подходе и упрощающий анализ событий безопасности.

Под эту модель команда экспертов выпустила 10 релизов с пакетами экспертизы с новым контентом: оптимизированными правилами нормализации и корреляции, а также улучшенной читаемостью событий и более качественным контекстом для расследований.

Обновленные правила нормализации

Обновленные правила нормализации ускоряют обработку событий до 45% за счет проведенной оптимизации по сравнению с правилами для УМС 1.0. Для повышения консистентности событий введены поля категоризации: события из разных систем приводятся к единой семантике и классам действий, что сокращает время на ручную интерпретацию, а также ускоряет расследование и подготовку отчетности.

Регулярная поставка экспертизы
За последние 2 года команда экспертов выпустила более 50 релизов — обновления с новыми и улучшенными правилами выходят раз в две недели. Такой цикл позволяет заказчикам получать поддержку новых источников, актуальные доработки и расширение сценариев мониторинга без длительного ожидания.

MITRE ATT&CK
Актуальный контент пакетов обеспечивает покрытие матрицы MITRE ATT&CK v17.1 более чем на 65% за счет маппинга правил корреляции на тактики и техники атакующих. Это дает заказчику прозрачное понимание полноты мониторинга и помогает расставлять приоритеты при развитии системы обнаружения атак.

Больше контекста и управляемости в правилах корреляции

Помимо детектирующей логики правила корреляции теперь содержат расширенный набор полей, повышающих прозрачность и удобство эксплуатации системы для команд ИБ. Они включают указание необходимых источников данных, ссылки на разборы и аналитические материалы для быстрого погружения, связь с техниками и тактиками матрицы MITRE ATT&CK, а также таксономию инцидента с категорией, типом и уникальным идентификатором для передачи в SOAR-решения, а также рекомендации по реагированию в виде пошагового плана.

Корреляционное событие дополняется описанием на естественном языке, в котором указывается кто, когда, где и какие действия совершил. Это упрощает и ускоряет работу аналитиков при разборе подозрений на инциденты.

Каждое правило сопровождается unit-тестами с примерами эталонных событий, что помогает лучше понять логику детектирования и упрощает проверку корректности настройки в инфраструктуре заказчика.

Поддержка новых источников и индикаторов
В экспертизу от вендора добавлены правила для новых систем и сервисов. Правила нормализации покрывают более 250 источников из разных категорий — от операционных систем и средств защиты до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции для R-Vision SIEM превышает 850. Это позволяет заказчикам получить более широкий охват инфраструктуры «из коробки» и снизить трудозатраты на разработку собственного контента.

Вспомогательные материалы и открытая база знаний

Экспертиза также включает сопутствующие артефакты: таблицы обогащения, активные списки, витрины данных и конвейеры нормализации в виде импортируемых объектов. Часть материалов, включая конвейеры нормализации, доступна заказчикам публично в репозиториях. Доступен справочный портал по настройке источников событий как единое «входное окно» для инженеров и аналитиков.

Также в открытом доступе публикуются аналитические материалы, подготовленные в процессе разработки правил корреляции.

«Мы убеждены, что корректное обнаружение угроз начинается именно с детального понимания природы событий безопасности, условий их формирования и индикаторов. Наши материалы помогают восстановить полную картину возможной атаки – от анализа «сырых» событий и используемых инструментов до логики построения правил детектирования», — прокомментировал Николай Рягин, руководитель управления исследований и аналитики, R-Vision.