Видение безопасности выпустила новые версии продуктов UEBA и Anomaly Detection на платформе Security Vision 5.

Видение безопасности EUBA автоматически строит типовые шаблоны поведения (пользователи, учетные записи, устройства, процессы и т. д.) и находит расхождения, анализируя потоки необработанных данных о сетевом трафике, проксиофициантыпочтовые серверы, серверы Windows/Linux и рабочие станции.

Security Vision Anomaly Detection улучшает обнаружение аномалий в корпоративной инфраструктуре за счет применения широкого спектра моделей и методов машинного обучения, суммирования результатов отдельных моделей и объединения полученных событий в инциденты для дальнейшего расследования.

Наиболее важные особенности Security Vision UEBA:

Интеграция с источниками данных

Продукт Security Vision UEBA содержит настраиваемые коннекторы для получения, нормализации и анализа необработанных данных из всех распространенных систем SIEM (KUMA SIEM, МаксПатрол SIEMПангео РАДАР, Для россиян, НЕЙРОДАТ SIEMArcSight SIEM, QRadarКомментарий, Splunk др.), возможность получения событий в универсальных форматах (ФЭКLEEF и др.), разъемы для NGFW и сетевые устройстваСиско, Контрольно-пропускной пунктПало-Альто, Можжевельник д.), прокси-сервер (Кальмар, синее пальто), «озера данных» (Кафка, Эластичный поиск), а также получать логи напрямую из окна/линукс устройства и рабочие станции.

Встроенные в платформу компоновщики интеграций позволяют быстро реализовать дополнительные интеграции с любым другим источником данных с использованием большого количества протоколов в режиме без кода, включая графист для нормализации полученных данных.

Настраиваемые правила и механизм анализа

Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активности пользователей, аккаунтов, хостов, процессов, а также показателей объема трафика, количества подключений и т. д. Функционал продукта позволяет расширять и настраивать новые правила анализа, настраивать их активность, их оценку и порог их влияния на создание результирующего инцидента.

ЧИТАТЬ   Эрдоган: зерновая сделка продлена на два месяца

Также в платформу встроен полноценный движок правил корреляции, с помощью которого можно настраивать правила любой глубины и сложности. Например, сигма-правила и типичные правила корреляции включены в поставку продукта.

Инциденты и реакция

Все обнаруженные отклонения автоматически объединяются по отношению к сработавшему объекту. При превышении заданных пороговых значений система формирует инцидент, в котором отражается вся подробная информация об объекте инцидента, связанных объектах и ​​всех обнаруженных аномальных событиях.

В продукте настроены автоматические действия для управления инцидентами: отправка в системы ИРП/ЭВОЛЮЦИЯ, отправить в SIEM, добавить в активные списки SIEM, добавить в черные списки на NGFV, заблокировать в службе каталогов и т. д. Пользователь может управлять действиями, выполняемыми над параметрами: активировать их выполнение автоматически или вручную, управлять их видимостью в файле инцидента. Предупреждениями об инцидентах можно управлять таким же образом.

Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и т. д.). По каждому объекту сбор и обогащение дополнительными данными из Инфраструктура клиентские или внешние аналитические службы. Процесс сбора и обогащения данных регулируется настройками системы.

Для работы с выявленными инцидентами и связанными с ними объектами в продукте реализованы процесс работыкто управляет жизненный цикл инцидент, обогащение, и позволяют выполнять действия. Встроенный конструктор рабочих процессов платформы позволяет пользователям настроить необходимый процесс реагирования и настроить взаимодействие с внешними системами.

Платформа предлагает гибкие возможности для создания и настройки дополнительных ответных действий, сбора и обогащения данных из полученного инцидента и всех связанных объектов инфраструктуры из клиентских или внешних систем.

Визуализация и отчеты

В файле инцидента все идентифицированные для объекта события отображаются в виде временной шкалы в соответствии с хронологией их возникновения. Большое количество ссылок на связанные объекты (устройства, аккаунты, процессы и т.д.) позволяют получить доступ к их карточкам для получения дополнительных данных и анализа.

ЧИТАТЬ   Новая программа Samsung BigInnings: скидки на складные, носимые устройства и многое другое

Кроме того, все связанные объекты и атрибуты отображаются графически, что позволяет создавать связи между инцидентными объектами и быстро переходить к подробной информации о них. Пользователь может добавить дополнительные действия на диаграмму, чтобы ответить, пополнить данными или установить дополнительные отношения.

Общие представления и Панели мониторинга позволяют просмотреть сводную информацию по всем идентифицированным объектам, согласно рассчитанному баллу. Детализация позволяет просматривать детали каждой группы сканирования.

Для каждого объекта системы реализована возможность загрузки отчетов, содержащих всю подробную информацию о выявленных безакцептных платежах и объектах нарушений. Сводные отчеты за период можно загружать вручную или своевременно получать по различным каналам: по электронной почте, Телеграмма и т. д.

Платформенный конструктор отчетов и информационных панелей позволяет пользователям самостоятельно настраивать необходимые отчеты и визуализацию данных в нет кодов без использования внешних продуктов и инструментов.

Наиболее важные функции обнаружения аномалий Security Vision:

Помимо всех вышеперечисленных возможностей, пользователь получает большое количество предварительно настроенных и обученных моделей. машинное обучениекоторые значительно расширяют возможности обнаружения аномальных и подозрительных действий в инфраструктуре предприятия, которые не обнаруживаются стандартными правилами корреляции и функциональностью. СЗИ.

Продукт использует различные методы машинного обучения, модели, обученные на различных наборах данных, связанных с бизнесом. ботнетыОПВ, ДДОС атаки и т. д., «неконтролируемые» модели, автоматически аппроксимирующие действия и обнаруживающие отклонения в различных сочетаниях параметров, нейронные сетиучет последовательности событий и их взаимосвязей и т. д. Полученные тревоги автоматически обрабатываются, группируются в наборы событий, применяются дедупликация данные.

Используемые в продукте модели регулярно автоматически перерабатываются по данным заказчика, адаптируясь к параметрам Инфраструктура, сеть, техническая деятельность и пользователи. Ручной и автоматический подбор параметров модели используется для улучшения качества обнаруживаемых просадок.

ЧИТАТЬ   19 невест, которые не бросились сломя голову в бутики и решились на что-то оригинальное

Продукт имеет встроенные параметры для использования «белых списков» для настройки исключений. Кроме того, модели автоматически учитывают ложноположительные триггеры при последующем переобучении моделей.

Управление платформой Security Vision

Видение безопасности — единственный Русский Компьютерная платформа, способная роботизировать до 95% программно-аппаратных функций оператора информационной безопасности. Является 100% российской разработкой и входит в Единый реестр российских программ для ЭВМ и базы данных. Имеет все необходимые для работы разрешительные лицензии ФСТЭК и ФСБ. Аккредитованный ФСТЭК по 4 уровню доверия (сертификат соответствия ФСТЭК №4194 от 19.12.2019).

Программные продукты на базе платформы Security Vision решают такие задачи, как:

  • создание ситуативный центр кибербезопасности;
  • раннее обнаружение атак и инцидентов кибербезопасности путем анализа событий от различных средств защиты информации;
  • консолидация оперативной информации и ее анализ в режиме реального времени для расследования инцидентов кибербезопасности и принятия управленческих решений;
  • сокращение времени отклика благодаря автоматизация ключевые процедуры и сценарии реагирования, роботизация операторные функции информационная безопасность;
  • автоматическое обеспечение контроля за соблюдением требований регуляторов, национальных и международных стандартов.

Source

От admin