Функциональные доработки, вошедшие в состав нового релиза, призваны существенно улучшить производительность и удобство работы с системой.
Москва, 16 января 2023 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.8.0.
Функциональные доработки, вошедшие в состав нового релиза, призваны существенно улучшить производительность и удобство работы с системой. Остановимся на самых важных из них.
Самой значимой и ожидаемой доработкой стал новый функционал агрегация событий, который позволяет уменьшить объем хранилища событий (ElasticSearch) за счет того, что система перестает хранить однотипные или неважные события. Пример: в систему приходит 30 обращений за 1 минуту с одного IP-адреса на сервер, которые зафиксировал межсетевой экран. За 10 минут набегает уже 300 строк. Агрегация событий позволяет хранить только 2 из этих 300 строк – первое и последнее события, содержащие временные метки всех подобных событий. «Агрегация событий является включаемым функционалом и наиболее эффективен для логов межсетевых экранов, роутеров, netflow, IDS/IPS и веб-серверов. Такая доработка положительно скажется на экономии диска для хранения событий. При этом подсистема корреляции продолжит работать эффективно со всеми приходящими событиями, даже теми, которые мы не храним. Также при расследовании инцидентов аналитик SOC не будет видеть большое количество однотипных событий, что упростит процедуру реагирования», - отметил Ренат Гатьятов, руководитель разработки компании RuSIEM.
Кроме этого, добавлен новый функционал обогащение событий активами, который позволяет привязать события к активам и добавить информацию из актива в дополнительные поля событий. Пример: мы получаем события о внутреннем взаимодействии узлов сети. Внутри события мы сможем увидеть «Актив источника» и «Актив назначения», при клике на которые мы перейдем в карточку актива и сможем идентифицировать ПК, его критичность и определить, кто с ним работает.
В разделе «Корреляция» добавлен новый оператор inlist_contains, позволяющий искать вхождение одного из значений выбранного списка в поле события. Пример: пользователь создал список с вредоносными или запрещенными в организации доменами. Анализируя события прокси-сервера, мы можем применить этот оператор со списком запрещенных доменов к полю события, содержащему URL-адрес запрашиваемого ресурса, и, в случае если пользователь обращался на один из этих доменов, мы получим инцидент.
Еще одним важным добавлением стал новый модуль агента Rest API, который позволяет подключать источники для сбора событий посредством REST API. Более того, в рамках одного из проектов, была разработана возможность получения значения EPS по Rest API-запросу.
«Разработку нового релиза мы закончили к середине декабря, как и обещали нашим заказчикам, однако решили отложить выпуск до начала рабочего года, чтобы оперативно отреагировать на все обращения, которыми обычно сопровождается любой релиз», - отметил Максим Степченков, совладелец компании RuSIEM.
Москва, 16 января 2023 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.8.0.
Функциональные доработки, вошедшие в состав нового релиза, призваны существенно улучшить производительность и удобство работы с системой. Остановимся на самых важных из них.
Самой значимой и ожидаемой доработкой стал новый функционал агрегация событий, который позволяет уменьшить объем хранилища событий (ElasticSearch) за счет того, что система перестает хранить однотипные или неважные события. Пример: в систему приходит 30 обращений за 1 минуту с одного IP-адреса на сервер, которые зафиксировал межсетевой экран. За 10 минут набегает уже 300 строк. Агрегация событий позволяет хранить только 2 из этих 300 строк – первое и последнее события, содержащие временные метки всех подобных событий. «Агрегация событий является включаемым функционалом и наиболее эффективен для логов межсетевых экранов, роутеров, netflow, IDS/IPS и веб-серверов. Такая доработка положительно скажется на экономии диска для хранения событий. При этом подсистема корреляции продолжит работать эффективно со всеми приходящими событиями, даже теми, которые мы не храним. Также при расследовании инцидентов аналитик SOC не будет видеть большое количество однотипных событий, что упростит процедуру реагирования», - отметил Ренат Гатьятов, руководитель разработки компании RuSIEM.
Кроме этого, добавлен новый функционал обогащение событий активами, который позволяет привязать события к активам и добавить информацию из актива в дополнительные поля событий. Пример: мы получаем события о внутреннем взаимодействии узлов сети. Внутри события мы сможем увидеть «Актив источника» и «Актив назначения», при клике на которые мы перейдем в карточку актива и сможем идентифицировать ПК, его критичность и определить, кто с ним работает.
В разделе «Корреляция» добавлен новый оператор inlist_contains, позволяющий искать вхождение одного из значений выбранного списка в поле события. Пример: пользователь создал список с вредоносными или запрещенными в организации доменами. Анализируя события прокси-сервера, мы можем применить этот оператор со списком запрещенных доменов к полю события, содержащему URL-адрес запрашиваемого ресурса, и, в случае если пользователь обращался на один из этих доменов, мы получим инцидент.
Еще одним важным добавлением стал новый модуль агента Rest API, который позволяет подключать источники для сбора событий посредством REST API. Более того, в рамках одного из проектов, была разработана возможность получения значения EPS по Rest API-запросу.
«Разработку нового релиза мы закончили к середине декабря, как и обещали нашим заказчикам, однако решили отложить выпуск до начала рабочего года, чтобы оперативно отреагировать на все обращения, которыми обычно сопровождается любой релиз», - отметил Максим Степченков, совладелец компании RuSIEM.
