В коммерческой версии продукта разработчики добавили в перечень объектов новую агрегированную сущность «Пользователь». Список пользователей можно создавать как вручную, так и автоматически — путем интеграции платформы со службой каталогов Active Directory. Ранее перечень поддерживаемых объектов включал учетные записи и хосты, в будущем компания R-Vision планирует его дальнейшее расширение.
Кроме того, теперь в продукте появилась возможность удалять аномалии, выявленные при срабатывании простых правил. Эта функциональность будет полезной при настройке продукта, когда платформа обучается и может генерировать излишние аномалии. При удалении правила все ранее найденные аномалии будут также автоматически удалены.
Еще одно новшество затронуло работу с системой оповещения об отклонениях от профилей нормального поведения объектов. Платформа рассчитывает рейтинг опасности каждого контролируемого объекта, начисляя баллы за все связанные с ним подозрительные события, и при достижении предельного значения отправляет пользователю оповещение на электронную почту. В коммерческой версии продукта пороговая величина рейтинга и уровень критичности аномалий выставляются автоматически, при этом у аналитика SOC остается возможность редактировать эти параметры.
Отдельный блок обновлений касается многоуровневой системы программных экспертов для выявления аномалий. Так, в коммерческой версии R-Vision SENSE появился новый программный эксперт Account Sharing, предназначенный для выявления случаев использования чужих учетных записей по авторизационным событиям. Также теперь в продукте реализован расширенный программный эксперт по выявлению аномалий в соединениях VPN. В отличие от обычного, он позволяет обнаруживать подключения с IP-адреса с неустановленным геоположением, нестандартные для пользователя и организации города и страны подключения, несоответствие расстояния и разницы во времени между точками подключения.
«В коммерческой версии платформы нам удалось повысить стабильность и скорость работы программных экспертов с большими данными. Это стало возможным за счет функционального разделения нагрузки по предварительной обработке данных, в результате чего объемы информации, передаваемой между сервисами внутри системы, а также требования к программным экспертам были снижены без потери в точности их работы, — отметил Виктор Никуличев, менеджер продукта R-Vision SENSE. — В дальнейшем мы планируем расширять разнообразие поглощаемых источников данных и интеграций, а также таксономию анализируемых объектов наблюдения. Кроме того, решение будет дополняться внутренней экспертизой — математической в виде методов и моделей программных экспертов, а также в части аналитических возможностей, доступных “из коробки”».
Продукт R-Vision SENSE представляет собой аналитическую платформу кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий. В отличие от классических систем мониторинга событий безопасности, решение предоставляет продвинутую аналитику, помогающую специалистам SOC обнаруживать новые, ранее неизвестные, атаки и быстрее реагировать на инциденты за счет экономии времени на обработке ложных срабатываний SIEM. Продукт призван закрыть потребности компаний в качественной аналитике для снижения нагрузки на аналитиков SOC и решения задач по проактивному поиску угроз в ИТ-инфраструктуре.