Team news

Лицензирование и развертывания RuSIEM/RvSIEM free

 

Мы объявляли об открытом тестировании коммерческой версии - RuSIEM до 20 сентября 2017 года. "И все?!" - скажете вы. Нет!

Естественно, выкладывая свежие версии коммерческой версии и предоставляя свободный доступ через них мы рискуем:

Обновление RvSIEM free 5.4.3

Обновление RvSIEM free 5.4.3 (свободно распространяемой версии) :
- Перевод с redis-mq на rusiem-mq (повышение производительности и стабильности)
- Добавлен модуль агента для сбора локально и удаленно с Windows данных об установленном ПО и патчах
- Массовое добавление источников для агента

Отчет команды RuSIEM за 2016 год

Наша команда дышит, работает, преуспевает и прилагает максимальные усилия для развития полноценного продукта.
Мы работаем над созданием полноценного продукта, без использования сторонних open-source LM/SIEM решений.

Вот только малая доля того, что было реализовано за 2016 год:

  • Полноценный workflow согласно ITIL
  • Возможность постановки задач в инцидентах
  • Перекрытие области видимости при эскалации инцидента
  • Перекрытие области видимости инцидента при назначении задач
  • Изменили модель клейки событий с инцидентами, гальванически развязав на агрегаты
  • Аналитика: по baseline динамическому окну
  • Аналитика: по агрегатам симптоматики
  • Аналитика: возможность сложных расчетов для отчетов
  • Фиды с пополнением контента
  • Запуск команд из правил корреляции
  • Передача массивов ключей командам при срабатывании правил корреляции
  • Ассет-менеджмент: извлечение данных в режиме реального времени из событий для динамического обновления ИТ-ассетов
  • Ассет-менеджмент: возможность изменения в интерфейсе системы шаблона ассета
  • Ассет-менеджмент: статические и динамические группы с многочисленной вложенностью
  • Рефакторили и оптимизировали корреляцию
  • Добавили многочисленную группировку по объектам в правилах корреляции
  • Счетчики уникальных значений в правиле корреляции
  • Масштабируемость корреляции
  • Сделали триггерную последовательную корреляцию
  • Добавили возможность использования списков и массы операторов в правиле корреляции
  • Оптимизировали симптоматику
  • Написали свою внутреннюю очередь событий между компонентами системы
  • Операторы и функции для нормализации сложных событий
  • Возможность передачи CEF в другие системы
  • Шифрование каналов передачи событий во внешние системы
  • Агент: сбор данных о запущенных процессах и получение хэшей
  • Агент: добавили возможность WMI Query запросов с передачей результата в событиях
  • Агент: локальная своя база данных для временного хранения событий при недоступности сервера
  • Агент: контроль свободного пространства на диске
  • Агент: возможность sql запросов к базам данных с использованием множества переменных (параметров)
  • Агент: добавили SDEE и http api
  • Агент: добавили Hash модуль для получения md5/sha1/sha256 контрольных сумм файлов
  • Агент: синхронная и асинхронная передача
  • Агент: шифрование локальной БД и каналов передачи событий
  • Агент: возможность указания из веб-консоли сервера-приемника событий
  • Агент: автоматическое отключаемое обновление агента и модулей с управляющего сервера
  • Контроль работы источников событий с семафором
  • Экспорт, резервное копирование и восстановление системы и данных по-компонентно.
  • Возможность использования собственных лого в отчетах
  • Аггрегация и группировка данных в отчетах
  • Возможность калькуляции и группировки данных в отчетах (например, подсчет трафика по пользователю/ip)
  • Выгрузка больших отчетов в фоновом режиме
  • Выгрузка отчетов в различных форматах
  • Многочисленная группировка в отчетах и выборках по событиям
  • Применение симптоматики в отчетах и выборках по событиям
  • Построение взаимосвязей по двум любым полям (пользователь-хост, src.ip-dst.ip и так далее)
  • Взаимосвязи с учетом логического составного условия
  • Рефакторили ролевую модель доступа к системе
  • Добавили виджеты, настройки виджетов для дашбордов с возможностью построения как по базе данных событий, так и по аналитике
  • Оптимизировали обновление системы
  • Добавили множество интеграций с различными источниками и парсерами


И это не все!
Год не закончился. Скоро:

  • Standard Compliance (PCI DSS, SOX)
  • управление полями-агрегатами инцидента из веб-интерфейса
  • вынос части параметров конфигурационных файлов в веб-интерфейс

и некоторые другие возможности.