Новый функционал позволяет заказчикам минимизировать количество ложных срабатываний, улучшить качество выявления инцидентов, а также упрощает и ускоряет расследование инцидентов.
Москва, 28 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области информационной безопасности, выпустила новый технологический релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.7.0.
Выпущенная сегодня версия RuSIEM включает в себя очень важный обновленный функционал, который позволяет уменьшить количество ложных срабатываний за счет автоматического отключения правил корреляции при превышении порогового значения срабатываний.
«На этапе отладки и в ходе штатной работы SIEM при создании неточных правил корреляции, либо в случае изменения инфраструктуры может происходить большое количество ложных однотипных срабатываний. Когда их много, это может снизить работоспособность системы. Чтобы этого избежать, при создании правила корреляции мы прописываем механизм агрегации ложных инцидентов и условия аварийного отключения правила. В результате при необходимости, в единицу времени, когда число ложных срабатываний превышает заданное количество, происходит автоматическое отключение правила корреляции, что позволяет системе продолжать работать в штатном режиме и снижает вероятность пропустить настоящий инцидент», - отмечает руководитель разработки компании RuSIEM Ренат Гатьятов.
Вторая важная функция – это модуль корреляции для выявления использования алгоритмов генерации доменных имен (DGA), построенный на основе модели машинного обучения. DGA – техника автоматизации, которую злоумышленники используют для обхода средств защиты информации и предотвращения блокировки вредоносного программного обеспечения (ВПО). DGA-алгоритмы сейчас используются злоумышленниками повсеместно. Используя данный подход, можно анализировать DNS-запросы, а также интернет-трафик и выявлять зараженные ПК даже в случае использования нового и неизвестного ВПО. Это значительно улучшает качество выявления инцидентов.
«До настоящего момента это была классическая гонка на опережение: мы блокируем один домен, ВПО автоматически переключается на другой, который еще надо обнаружить, затем третий, четвертый. Модуль корреляции для выявления DGA позволяет нам на ранних этапах распознать эту игру и значительно минимизировать риски заражения ВПО», - пояснил Ренат Гатьятов.
Также новый функционал SIEM-системы RuSIEM включает возможность сравнения значений полей событий, возможность поиска по статическим спискам без учета регистра текста записи, а также поиска подстроки по значениям статических списков. И то, и другое позволяет существенно повысить эффективность существующих и новых правил корреляции.
Также были добавлены уведомления для инцидентов, созданных вручную, и возможность выполнения математических операций в виджетах, что влияет на удобство использования системы, упрощает и ускоряет расследование инцидентов.
Москва, 28 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области информационной безопасности, выпустила новый технологический релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.7.0.
Выпущенная сегодня версия RuSIEM включает в себя очень важный обновленный функционал, который позволяет уменьшить количество ложных срабатываний за счет автоматического отключения правил корреляции при превышении порогового значения срабатываний.
«На этапе отладки и в ходе штатной работы SIEM при создании неточных правил корреляции, либо в случае изменения инфраструктуры может происходить большое количество ложных однотипных срабатываний. Когда их много, это может снизить работоспособность системы. Чтобы этого избежать, при создании правила корреляции мы прописываем механизм агрегации ложных инцидентов и условия аварийного отключения правила. В результате при необходимости, в единицу времени, когда число ложных срабатываний превышает заданное количество, происходит автоматическое отключение правила корреляции, что позволяет системе продолжать работать в штатном режиме и снижает вероятность пропустить настоящий инцидент», - отмечает руководитель разработки компании RuSIEM Ренат Гатьятов.
Вторая важная функция – это модуль корреляции для выявления использования алгоритмов генерации доменных имен (DGA), построенный на основе модели машинного обучения. DGA – техника автоматизации, которую злоумышленники используют для обхода средств защиты информации и предотвращения блокировки вредоносного программного обеспечения (ВПО). DGA-алгоритмы сейчас используются злоумышленниками повсеместно. Используя данный подход, можно анализировать DNS-запросы, а также интернет-трафик и выявлять зараженные ПК даже в случае использования нового и неизвестного ВПО. Это значительно улучшает качество выявления инцидентов.
«До настоящего момента это была классическая гонка на опережение: мы блокируем один домен, ВПО автоматически переключается на другой, который еще надо обнаружить, затем третий, четвертый. Модуль корреляции для выявления DGA позволяет нам на ранних этапах распознать эту игру и значительно минимизировать риски заражения ВПО», - пояснил Ренат Гатьятов.
Также новый функционал SIEM-системы RuSIEM включает возможность сравнения значений полей событий, возможность поиска по статическим спискам без учета регистра текста записи, а также поиска подстроки по значениям статических списков. И то, и другое позволяет существенно повысить эффективность существующих и новых правил корреляции.
Также были добавлены уведомления для инцидентов, созданных вручную, и возможность выполнения математических операций в виджетах, что влияет на удобство использования системы, упрощает и ускоряет расследование инцидентов.