Компания RuSIEM, российский разработчик ПО в области информационной безопасности, выпустила новый технологический релиз системы мониторинга, сбора и анализа событий RuSIEM. Доработки в нем позволяют оперативно и без увеличения затрат ресурсов обнаруживать новейшие виды угроз, классифицировать и предотвращать их последствия.

Релиз включает порядка 40 обновлений и новых функций. Наиболее существенные изменения коснулись функционала сбора информации, управления событиями ИБ и настройки правил корреляции, а также работы с информационными активами пользователей.

Помимо этого, среди ключевых обновлений:

• возможность использования в правилах корреляции Mitre ID и иных классификаторов – позволяет категоризировать корреляции и упрощает работу при расследовании инцидентов и подготовке отчетов для регуляторов;

• оптимизация демона корреляции при работе с syslog – это позволило увеличить производительность системы более чем в 2.5 раза при тех же аппаратных затратах;

• поддержка последней версии ElasticSearch (ElasticSearch 7.14) – пользователи системы уже могут использовать значительно большее количество новых операций и команд при работе с данными, однако основной эффект можно будет увидеть в будущем при добавлении функционала архивации. Пользователи RuSIEM с ElasticSearch 7.14 смогут работать с данными в архивных снапшотах в режиме реального времени, не загружая их в систему.

Разрабатываемая компанией SIEM-система (Security Information and Event Management) предназначена для обнаружения и предотвращения угроз за счет анализа событий с сетевых устройств, решений безопасности, рабочих станций, серверов и приложений. В решение входят:

• RuSIEM – коммерческая версия системы класса SIEM, включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты;

• RuSIEM Analytics – модуль для коммерческой версии системы RuSIEM, дополняющий ее возможностями ML (Machine learning), DL (data learning), визуализации данных, управления активами и др., способствующими обнаружению угроз и аномалий;

• RvSIEM free – решение класса LM (Log Management), которое позволяет собрать, нормализовать события, строить отчеты, долгосрочно хранить, визуализировать данные. RvSIEM free – ограниченная по возможностям коммерческая версия RuSIEM.