R-Vision обновила пакеты экспертизы для своей SIEM-системы
Компания R-Vision представила обновление экспертизы для R-Vision SIEM. Правила корреляции дополнены расширенным контекстом и рекомендациями по реагированию, что должно ускорить работу аналитиков SOC при локализации угроз.
В системе, начиная с версии 2.4, используется Универсальная Модель Событий 2.0 — стандарт описания событий на субъектно-объектном подходе. Под эту модель выпущено 10 релизов с пакетами экспертизы, включающими обновленные правила нормализации и корреляции.
Как сообщили в компании, оптимизация правил нормализации позволила ускорить обработку событий до 45% по сравнению с версией для УМС 1.0. Введены поля категоризации для приведения событий из разных систем к единой семантике.
За последние два года команда выпустила более 50 релизов с обновлениями правил — поставка идет раз в две недели.
Покрытие матрицы MITRE ATT&CK v17.1 составляет более 65% за счет маппинга правил корреляции на тактики и техники, уточнили разработчики.
Обновленные правила корреляции теперь содержат указание необходимых источников данных, ссылки на аналитические материалы, связь с MITRE ATT&CK, таксономию инцидента с идентификатором для передачи в SOAR, а также пошаговые рекомендации по реагированию. Каждое правило сопровождается unit-тестами с эталонными событиями.
Правила нормализации покрывают более 250 источников — от ОС и средств защиты до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции превышает 850, что позволяет расширить охват инфраструктуры «из коробки», говорится в сообщении.
В состав экспертизы также входят таблицы обогащения, активные списки, витрины данных и конвейеры нормализации. Часть материалов, включая конвейеры нормализации, доступна заказчикам в открытых репозиториях. Также опубликован справочный портал по настройке источников событий и база знаний с аналитическими материалами по разработке правил корреляции.
Читайте также
