• Cбор событий c нестандартных журналов Windows

    С релиза 5.6.1-27 и версии агента 3.0.6.314 мы поддерживаем сбор событий c любых журналов Windows. Например, Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational с которого вы получите ip адреса неуспешных попыток доступа, а также с остальных более чем 140 журналов. Как настроить сбор - смотрите в видео

  • Лицензирование и развертывания RuSIEM/RvSIEM free

     

    Мы объявляли об открытом тестировании коммерческой версии - RuSIEM до 20 сентября 2017 года. "И все?!" - скажете вы. Нет!

    Естественно, выкладывая свежие версии коммерческой версии и предоставляя свободный доступ через них мы рискуем:

  • Обновление RvSIEM free 5.4.3

    Обновление RvSIEM free 5.4.3 (свободно распространяемой версии) :
    - Перевод с redis-mq на rusiem-mq (повышение производительности и стабильности)
    - Добавлен модуль агента для сбора локально и удаленно с Windows данных об установленном ПО и патчах
    - Массовое добавление источников для агента
    - Изменение API для агента
    - Обновление версии агента и модулей
    - Интеграция с LDAP
    - Расширение таксономии

  • Кейс: Интерактивный вход в системы без прохода в офис

     

    Мы добавили в релизную версию реализацию кейса "Интерактивный вход в системы без прохода в офис". (Пояснение: интерактивным входом является вход в систему непосредственно с клавиатуры, включая включение компьютера или вход с разблокировкой экрана)

    Как и зачем? Нам поступило большое число обращений от наших заказчиков. Казалось бы простой кейс, но с ним связано множество инцидентов:

  • Аудит доступа пользователей в системы

    Получали ли вы когда нибудь письмо от Google, Dropbox, Facebook о том что вы вошли с другого браузера или IP адреса? Мы реализовали нечто подобное, но более универсальное, управляемое и применимое для корпоративных систем в нашем модуле RuSIEM Analytics.

  • Утилита для проверки по сети MS17-010 (используемой WanaCry)

    В связи с массовой эпидемией криптолокера WanaCrypt и его модификаций - мы оперативно выпустили утилиту для массовой проверки по сети smbv1/smbv2 и установленных обновлений для всех версий операционной системы Microsoft Windows.
    Проверки проводятся аутентифицированно (для исключения злонамерянного использования) через WMI.
    Утилита не требует лицензий и необходимости установки.

  • Отчет команды RuSIEM за 2016 год

    Наша команда дышит, работает, преуспевает и прилагает максимальные усилия для развития полноценного продукта.
    Мы работаем над созданием полноценного продукта, без использования сторонних open-source LM/SIEM решений.

    Вот только малая доля того, что было реализовано за 2016 год:

    • Полноценный workflow согласно ITIL
    • Возможность постановки задач в инцидентах
    • Перекрытие области видимости при эскалации инцидента
    • Перекрытие области видимости инцидента при назначении задач
    • Изменили модель клейки событий с инцидентами, гальванически развязав на агрегаты
    • Аналитика: по baseline динамическому окну
    • Аналитика: по агрегатам симптоматики
    • Аналитика: возможность сложных расчетов для отчетов
    • Фиды с пополнением контента
    • Запуск команд из правил корреляции
    • Передача массивов ключей командам при срабатывании правил корреляции
    • Ассет-менеджмент: извлечение данных в режиме реального времени из событий для динамического обновления ИТ-ассетов
    • Ассет-менеджмент: возможность изменения в интерфейсе системы шаблона ассета
    • Ассет-менеджмент: статические и динамические группы с многочисленной вложенностью
    • Рефакторили и оптимизировали корреляцию
    • Добавили многочисленную группировку по объектам в правилах корреляции
    • Счетчики уникальных значений в правиле корреляции
    • Масштабируемость корреляции
    • Сделали триггерную последовательную корреляцию
    • Добавили возможность использования списков и массы операторов в правиле корреляции
    • Оптимизировали симптоматику
    • Написали свою внутреннюю очередь событий между компонентами системы
    • Операторы и функции для нормализации сложных событий
    • Возможность передачи CEF в другие системы
    • Шифрование каналов передачи событий во внешние системы
    • Агент: сбор данных о запущенных процессах и получение хэшей
    • Агент: добавили возможность WMI Query запросов с передачей результата в событиях
    • Агент: локальная своя база данных для временного хранения событий при недоступности сервера
    • Агент: контроль свободного пространства на диске
    • Агент: возможность sql запросов к базам данных с использованием множества переменных (параметров)
    • Агент: добавили SDEE и http api
    • Агент: добавили Hash модуль для получения md5/sha1/sha256 контрольных сумм файлов
    • Агент: синхронная и асинхронная передача
    • Агент: шифрование локальной БД и каналов передачи событий
    • Агент: возможность указания из веб-консоли сервера-приемника событий
    • Агент: автоматическое отключаемое обновление агента и модулей с управляющего сервера
    • Контроль работы источников событий с семафором
    • Экспорт, резервное копирование и восстановление системы и данных по-компонентно.
    • Возможность использования собственных лого в отчетах
    • Аггрегация и группировка данных в отчетах
    • Возможность калькуляции и группировки данных в отчетах (например, подсчет трафика по пользователю/ip)
    • Выгрузка больших отчетов в фоновом режиме
    • Выгрузка отчетов в различных форматах
    • Многочисленная группировка в отчетах и выборках по событиям
    • Применение симптоматики в отчетах и выборках по событиям
    • Построение взаимосвязей по двум любым полям (пользователь-хост, src.ip-dst.ip и так далее)
    • Взаимосвязи с учетом логического составного условия
    • Рефакторили ролевую модель доступа к системе
    • Добавили виджеты, настройки виджетов для дашбордов с возможностью построения как по базе данных событий, так и по аналитике
    • Оптимизировали обновление системы
    • Добавили множество интеграций с различными источниками и парсерами


    И это не все!
    Год не закончился. Скоро:

    • Standard Compliance (PCI DSS, SOX)
    • управление полями-агрегатами инцидента из веб-интерфейса
    • вынос части параметров конфигурационных файлов в веб-интерфейс

    и некоторые другие возможности.