Компания R-Vision выпустила коммерческий релиз аналитической платформы кибербезопасности R-Vision SENSE. Ключевые обновления в продукте по сравнению с техническим релизом, представленным осенью 2020 г., – это расширенный список объектов, состояние безопасности которых контролирует платформа, улучшенная система оповещения об аномальном поведении объектов и новые программные эксперты для выявления аномалий.

R-Vision SENSE представляет собой аналитическую платформу кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и динамически оценивает угрозы и аномалии. Решение предоставляет продвинутую аналитику, помогающую специалистам SOC обнаруживать новые, ранее неизвестные атаки и быстрее реагировать на инциденты за счет экономии времени на обработке ложных срабатываний SIEM.

В коммерческой версии продукта в перечень объектов добавлена новая агрегированная сущность «Пользователь». Список пользователей можно создавать как вручную, так и автоматически – путем интеграции платформы со службой каталогов Active Directory. Ранее перечень поддерживаемых объектов включал учетные записи и хосты, в будущем R-Vision планирует его дальнейшее расширение.

Появилась возможность удалять аномалии, выявленные при срабатывании простых правил. Эта функциональность будет полезной при настройке продукта, когда платформа обучается и может генерировать излишние аномалии. При удалении правила все ранее найденные аномалии будут также автоматически удалены.

Еще одно новшество связано с работой системы оповещения об отклонениях от профилей нормального поведения объектов. Платформа рассчитывает рейтинг опасности каждого контролируемого объекта, начисляя баллы за все связанные с ним подозрительные события, и при достижении предельного значения отправляет пользователю оповещение на электронную почту. В коммерческой версии продукта пороговая величина рейтинга и уровень критичности аномалий выставляются автоматически, при этом у аналитика SOC остается возможность редактировать эти параметры.

Отдельный блок обновлений касается многоуровневой системы программных экспертов для выявления аномалий. Так, в коммерческой версии R-Vision SENSE появился программный эксперт Account Sharing, предназначенный для выявления случаев использования чужих учетных записей по авторизационным событиям. Также в продукте реализован расширенный программный эксперт по выявлению аномалий в соединениях VPN. В отличие от обычного он позволяет обнаруживать подключения с IP-адреса с неустановленным геоположением, нестандартные для пользователя и организации города и страны подключения, несоответствие расстояния и разницы во времени между точками подключения.

Какотмечают в компании, в коммерческой версии платформы удалось повысить стабильность и скорость работы программных экспертов с большими данными. Это стало возможным за счет функционального разделения нагрузки по предварительной обработке данных, в результате чего объемы информации, передаваемой между сервисами внутри системы, а также требования к программным экспертам были снижены без потери в точности их работы. В дальнейшем разработчики планируют расширять разнообразие поглощаемых источников данных и интеграций, а также таксономию анализируемых объектов наблюдения. Кроме того, решение будет дополняться внутренней экспертизой – математической в виде методов и моделей программных экспертов, планируется также расщирять аналитические возможности, доступные «из коробки».