Компания R Vision представила новую версию аналитической платформы кибербезопасности R-Vision SENSE 1.5. В продукте появился ряд новых возможностей в сравнении с коммерческим релизом, вышедшим в мае 2021 г.

Ключевые изменения касаются системы поведенческого анализа: теперь платформа самостоятельно умеет дообучаться и переобучаться для актуализации шаблонов поведения. Пользователь системы может настраивать интервалы автоматического дообучения под условия своей инфраструктуры, чтобы программные эксперты вовремя получали новые сведения и уменьшали число повторяющихся ложноположительных аномалий. Также, настраивая интервалы переобучения, пользователь может регулировать периодичность сброса устаревшего контекста по объектам, что позволит избежать эффекта накопления полномочий, например, в случае смены ролей сотрудника в компании.

В обновленной платформе реализована интеграция с целым рядом источников, в частности с системами MaxPatrol SIEM и ArcSight ESM. R-Vision SENSE также позволяет сохранять и обрабатывать не только сырые события, но и события корреляции из ArcSight ESM, размещая их на общем таймлайне объекта наблюдения. Таким событиям можно назначить рейтинг опасности, после чего они будут влиять на рейтинг объекта наблюдения. В новой версии также реализована интеграция с системой реагирования на инциденты R-Vision IRP – появилась возможность настраивать отправку оповещений об инцидентах. Кроме того, был разработан коннектор для событий Kaspersky Security Center, по которым также можно настраивать простые правила для присвоения алертам баллов опасности на таймлайнах объектов.

В версии 1.5 появилось превью по объекту наблюдения – теперь можно быстро получить информационную сводку об объекте, частым аномалиям, баллах опасности и сразу же перейти к таймлайну для получения всех необходимых подробностей. Переработан алгоритм работы частотной модели, благодаря чему программные эксперты работают точнее и быстрее. Также разработчики предоставили возможность настраивать программных экспертов для регулирования их чувствительности.

Реализована интеграция с Active Directory, список пользователей, а также информация по ним появляется и обновляется автоматически. Также стало можно настраивать несколько таких интеграций, синхронизируя разные Base DN.

Ряд улучшений реализован в среде логирования. В R-Vision SENSE появился отдельный сервис для централизованного логирования процессов всех модулей и сервисов системы, с помощью которого пользователю станет проще собирать необходимую сервисную информацию. Покрытие логами коснулось всех критичных сервисов, относящихся к работе платформы. Появился функционал системных уведомлений – теперь платформа будет оповещать пользователя обо всех важных событиях в пользовательском интерфейсе.

Кроме того, разработчики расширили функциональность работы с дашбордами, оптимизировали процесс работы с агрегированной сущностью «Пользователь» и улучшили таймлайн. В карточке пользователей появилась история изменений – все обновления объекта теперь отражаются в соответствующей вкладке.