Обзор R-Vision SENSE 1.5, аналитической платформы кибербезопасности


Обзор R-Vision SENSE 1.5, аналитической платформы кибербезопасности

Аналитическая платформа кибербезопасности R-Vision SENSE выявляет подозрительную активность объектов и фиксирует нарушения в состоянии систем, благодаря чему повышается эффективность работы центров мониторинга и реагирования на инциденты в информационной безопасности (SOC — Security Operations Center). Продукт сочетает в себе функции систем класса SIEM (Security Information and Event Management) и UEBA (User and Entity Behavioral Analytics).

Сертификат AM Test Lab

Номер сертификата: 370

Дата выдачи: 15.12.2021

Срок действия: 15.12.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности R-Vision SENSE
    1. 2.1. Сбор событий
    2. 2.2. Объекты наблюдения
    3. 2.3. Аналитические инструменты
    4. 2.4. Система скоринга
  3. Архитектура и системные требования R-Vision SENSE
  4. Сценарии использования R-Vision SENSE
    1. 4.1. Система обучения
    2. 4.2. Оповещения
    3. 4.3. Дашборды
  5. Выводы

Введение

Сегодня команды SOC сталкиваются со многочисленными сложностями в работе и испытывают потребность в качественных данных для расследования инцидентов. В частности, чрезмерный поток событий, получаемых от SIEM-систем и систем лог-менеджмента, создаёт большое количество ложных срабатываний, крадёт рабочее время аналитиков, размывает фокус их внимания и, как следствие, лишает их возможности своевременно обрабатывать критически важные инциденты и предотвращать атаки на организацию. Эти проблемы, и в том числе недостаточное количество инструментов анализа инцидентов, неизбежно ведут к перегруженности и нехватке персонала, тормозят работу всей команды SOC, а также сильно снижают её эффективность в целом. Всё вышеперечисленное породило идею создания платформы R-Vision SENSE.

Аналитическая платформа кибербезопасности R-Vision SENSE детектирует нарушения в состоянии безопасности корпоративных систем, выявляет признаки начинающейся атаки и осуществляет динамическую оценку угроз и аномалий. Благодаря инструментам поведенческой аналитики платформа позволяет выявлять ранее неизвестные и неочевидные угрозы, а также обеспечивает более качественные входные данные об инцидентах для снижения нагрузки на специалистов SOC и решения задач по проактивному поиску угроз в ИТ-инфраструктуре.

Недавно мы анализировали практическое применение экосистемы продуктов R-Vision при создании центра мониторинга и реагирования на киберинциденты. В материале помимо других продуктов фигурировала платформа R-Vision SENSE.

Функциональные возможности R-Vision SENSE

Использование платформы R-Vision SENSE открывает следующие возможности:

  • Предобработка потока событий, получаемых от систем лог-менеджмента или SIEM, снижение количества ложных срабатываний и сокращение объёма уведомлений, с которым работают ИБ-аналитики.
  • Непрерывный мониторинг и выявление изменений в состоянии безопасности с использованием комплекса аналитических инструментов (поведенческого анализа, машинного обучения, простых корреляционных правил).
  • Приоритизация критической значимости угроз и аномалий при помощи скоринговой оценки.
  • Визуализация легитимных событий и аномалий в виде единого таймлайна с возможностью перехода к связанным объектам, позволяющая аналитику эффективно проводить изучение и расследование инцидентов.
  • Оптимизация трудозатрат на поддержку правил корреляции и настройку SIEM-системы.

Ключевой особенностью продукта R-Vision SENSE является то, что он совмещает в себе лучшие функции как SIEM-систем, так и комплексов класса UEBA, реализованные на передовых технологиях. Платформа R-Vision SENSE является собственной разработкой компании R-Vision и зарегистрирована в реестре отечественного ПО (запись в реестре № 9193 от 20.02.2021).

Сбор событий

С точки зрения сбора событий платформа R-Vision SENSE похожа на другие системы сбора логов. Она поддерживает все актуальные способы транспорта сообщений, а также интеграции с SIEM-системами, такими как Micro Focus ArcSight, PT MaxPatrol SIEM, IBM QRadar.

Для парсинга событий используются разработанные специалистами R-Vision коннекторы к системам. Их главная цель — извлечь из сообщения полезную информацию и нормализовать её представление в продукте. Поставщиками событий могут служить как конечные узлы, которые генерируют свои журналы, так и системы лог-менеджмента и SIEM-системы. Наиболее частый сценарий использования — когда платформа обрабатывает логи собираемые SIEM-системой.

Важно отметить, что все функциональные элементы сбора и хранения R-Vision SENSE горизонтально масштабируются, предусмотрено распараллеливание нагрузки, за счёт чего рост скорости обработки событий близок к линейному. В результате продукт может принимать и обрабатывать действительно большие объёмы информации.

Обработка данных происходит в два этапа: фильтрация и нормализация. Сначала из всего потока событий отбираются только полезные, которые будут использованы для анализа и при расследовании, а неинформативные игнорируются. На этапе нормализации из каждого события извлекается и структурируется необходимая информация. После нормализации все события сохраняются в базе данных. В качестве СУБД в продукте используется ClickHouse, которая обеспечивает наилучшие характеристики скорости доступа к данным и объёма занимаемого дискового пространства. Таким образом, платформа R-Vision SENSE не накапливает лишней информации.

Объекты наблюдения

R-Vision SENSE — объектоцентричная система. Это значит, что вся работа с продуктом выстраивается через конкретные сущности, привязанные к объектам в ИТ-инфраструктуре организации. Для всех устройств и пользователей строится их модель поведения, и конечный инцидент всегда связан с определённым объектом.

Основным элементом такого подхода является таймлайн объекта наблюдения. Таймлайн представляет собой временную шкалу, на которой отмечается последовательность всех событий, происходящих с объектом наблюдения, включая аномалии и контекст по ним. Он позволяет отследить в ретроспективе перемещение злоумышленника с одного объекта наблюдения на другой, быстро переключаясь между их таймлайнами.

 

Рисунок 1. Таймлайн объекта наблюдения в R-Vision SENSE

Таймлайн объекта наблюдения в R-Vision SENSE

 

С помощью встроенного фильтра есть возможность отображать на таймлайне определённые типы действий и / или только аномальные события.

 

Рисунок 2. Фильтр событий учётной записи в R-Vision SENSE

Фильтр событий учётной записи в R-Vision SENSE

 

Из всех событий извлекаются данные об учётных записях и оборудовании, после чего строится их модель поведения и таймлайн. В случае с пользователями логика устроена несколько сложнее. Так как пользователи фигурируют в «сырых» событиях не как конечный объект, а скорее как набор атрибутов в различных вариациях, в зависимости от системы — источника логов, то в платформе SENSE пользователь представляет собой набор тех самых атрибутов. Эти атрибуты агрегируются, в результате таймлайн пользователя объединяет в себе несколько таймлайнов учётных записей. Например, учётная запись в событии VPN может состоять исключительно из имени аккаунта, а в случае с событиями ОС Windows учётная запись определяется парой — именем учётной записи и её доменом. Таймлайн такого пользователя будет отображать как события с ОС Windows, так и события VPN-сервера.

 

Рисунок 3. События разных учётных записей в едином таймлайне пользователя в R-Vision SENSE

События разных учётных записей в едином таймлайне пользователя в R-Vision SENSE

 

Список пользователей и их учётных записей может быть получен несколькими способами: путём интеграции с системами Account Management и всем знакомым Active Directory, а также вручную через API. После получения из AD полного списка пользователей, их основных атрибутов и всех доступных учётных записей для каждого такого объекта создаётся карточка в системе. Так как объекты модифицируемы, в SENSE предусмотрена функция отслеживания изменений карточки объекта: каждая синхронизация с AD и каждое ручное изменение отражаются в истории.

 

Рисунок 4. История изменений объекта наблюдения в R-Vision SENSE

История изменений объекта наблюдения в R-Vision SENSE

 

Аналитические инструменты

Для анализа предварительно отфильтрованных и нормализованных событий в R-Vision SENSE применяются два диаметрально противоположных подхода: простые правила и программные эксперты.

Простые правила — это облегчённый механизм поиска вредоносной активности, напоминающий правила корреляции в SIEM. Платформа поставляется с набором предустановленных правил, которые можно дополнять и расширять. Чтобы работа над созданием таких правил была максимально удобной для пользователя, конструктор правил в R-Vision SENSE очень прост в использовании и не требует программирования и написания сложных условий. При создании правила пользователь может видеть в динамике влияние новых условий фильтрации на конечный результат. При изменении условий обновляется пример события, удовлетворяющего заданному фильтру, а также указывается число таких событий, для того чтобы пользователь при сохранении параметров осознавал примерные объёмы срабатываний настроенного правила. При этом, если со временем выяснилось, что простое правило генерирует много ложноположительных срабатываний (False Positive), эти аномалии можно удалить — а затем изменить или уточнить правило и проанализировать заново весь поток событий, в том числе с учётом ретроспективы.

 

Рисунок 5. Конструктор правил в R-Vision SENSE

Конструктор правил в R-Vision SENSE

 

Помимо простых правил в R-Vision SENSE имеются так называемые программные эксперты. Эксперты — это некие «умные» анализаторы логов, которые могут полагаться как на модели машинного обучения для выявления поведенческих аномалий или определённой вредоносной активности, так и на сложные алгоритмы выявления инцидентов определённого типа, которые слишком трудно найти с помощью простых правил.

R-Vision SENSE содержит следующий предустановленный набор программных экспертов:

  • выявление случаев компрометации учётных записей по авторизационным событиям,
  • выявление аномалий в соединениях VPN,
  • обнаружение подключений с IP-адреса с неустановленным геоположением, нестандартные для пользователя и организации города и страны подключения, несоответствие расстояния и разницы во времени между точками подключения,
  • мониторинг запущенных процессов,
  • мониторинг почтового трафика,
  • определение доменов DGA и look-alike,
  • мониторинг доступа процессов к файлам.

Почти в каждом обновлении системы этот список пополняется новыми экспертами.

При работе как простых правил, так и программных экспертов результатом анализа входящих событий является аномалия или её отсутствие. Все срабатывания сохраняются в базе данных с привязкой к событиям первоисточника, что помогает быстро отслеживать появление новых аномалий по объектам и реагировать на рост их рейтинга опасности, о котором подробнее рассказано в следующем разделе.

Каждым из аналитических инструментов можно управлять:

  • редактировать простые правила,
  • редактировать баллы рейтинга опасности (простые правила) и аномалий (эксперты),
  • включать / отключать простые правила и эксперты,
  • удалять неактуальные аномалии,
  • проводить ретроспективный анализ,
  • удалять и восстанавливать простые правила.

Система скоринга

Любое срабатывание простого правила или эксперта формирует аномалии с определёнными рейтингами. В рамках одного события может быть несколько аномалий, каждая из которых повышает балл опасности события. В каждом событии однозначно идентифицируются объекты-участники, например пользователи и хосты. Каждому из объектов, участвующих в событии, присваивается один и тот же рейтинг этого события. Таким образом, окончательный рейтинг объекта складывается из суммы всех рейтингов связанных с ним событий.

На таймлайне объекта отображаются название аномалии вместе с общим рейтингом, а также все входящие в таймлайн события и отклонения. По каждой аномалии можно посмотреть её балл и аналитический инструмент, с помощью которого она была детектирована.

 

Рисунок 6. Детекторы аномалий в R-Vision SENSE

Детекторы аномалий в R-Vision SENSE

 

Важно отметить, что конечный балл опасности аномалии формируется из двух величин: базовой оценки и коэффициента. Базовая оценка представляет собой основной балл для приоритизации важности аномалий. Она может редактироваться пользователем в рамках оптимизации под контекст конкретной организации. Коэффициент — это рациональная метрика от программного эксперта, которая несёт в себе информацию о значимости аномалии для объекта. Этот коэффициент умножается на базовую оценку и может её увеличивать (в случае сильного отклонения от сформированного шаблона поведения объекта) или уменьшать (в ином случае). Таким образом, конечный балл каждого объекта получается за счёт поиска всех соответствующих объекту аномалий и последующего суммирования оценок аномалий объекта, скорректированных коэффициентами.

Например, рассмотрим аномалию связанную с нестандартным временем входа пользователя в корпоративную систему. Её базовая оценка равна 15 баллам опасности, но в зависимости от величины отклонения программный эксперт может как увеличить общий балл, так и уменьшить. В случае если отклонение невелико (например, пользователь пришёл на работу на час раньше), эксперт вернёт коэффициент ниже единицы, что при перемножении снизит конечный балл аномалии. При очень поздней (например, ночной) авторизации эксперт вернёт коэффициент больше единицы, что увеличит конечный балл.

Архитектура и системные требования R-Vision SENSE

R-Vision SENSE состоит из следующих компонентов:

  • Коллекторы данных.
  • Коннекторы ко внешним системам для сбора данных.
  • База данных для хранения событий по безопасности.
  • База данных для хранения системной информации.
  • Сервис анализа событий (простые правила).
  • Менеджер задач программных экспертов.

 

Рисунок 7. Архитектура R-Vision SENSE

Архитектура R-Vision SENSE

 

Минимальные системные требования

Системные требования R-Vision SENSE напрямую зависят ото требуемой производительности, которая рассчитывается по количеству событий обрабатываемых за одну секунду (EPS).

 

Таблица 1. Системные требования R-Vision SENSE

EPS

Способ установки

Оперативная память

Процессор

Накопитель

1 000

Моно

24 ГБ

14 vCPU

1 ТБ SSD за год

10 000

Моно

48 ГБ

30 vCPU

10 ТБ SSD за год

25 000

Основной сервер

96 ГБ

64 vCPU

500 ГБ SSD

Сервер данных

32 ГБ

32 vCPU

25 ТБ SSD за год

 

Система R-Vision SENSE полностью контейнеризирована и может запускаться в любой среде, где поддерживаются технологии «docker» и «docker-compose».

Сценарии использования R-Vision SENSE

Система обучения

При первой инсталляции R-Vision SENSE интегрируется в инфраструктуру и начинает обобщать поступающий из логов контекст для формирования шаблона поведения каждого из объектов. После такого первичного обучения платформа готова анализировать новые события на предмет отклонения от сформированного базового уровня (baseline) сущностей. Минимальный необходимый период первичного обучения составляет от 2-х недель, рекомендуемый разработчиком — 1 месяц, после чего система может переходить в «боевой» режим работы.

R-Vision SENSE учитывает изменение инфраструктуры заказчика и способна дообучаться в динамике. Механизм дообучения ориентирован на снижение количества ложноположительных срабатываний, которые могут выявляться в силу непостоянства пользователей, инфраструктурной изменчивости и возможного недостатка данных на первичном обучении. Иными словами, при появлении нового пользователя платформа будет считать его аномальным лишь короткий интервал времени, пока он действительно нов для системы. После дообучения пользователь станет полноправным анализируемым объектом со своей моделью поведения.

Кроме механизма дообучения в R-Vision SENSE присутствует возможность полного переобучения, которое можно проводить как вручную, так и по расписанию. Переобучение позволяет сбросить накопившийся контекст, который может оказаться устаревшим. Примером может служить ситуация, когда при смене ролей в компании пользователю могут оставаться доступными те действия, которые для его новой роли неактуальны. Если система не пройдёт переобучения и будет ориентироваться на прежние данные, это может привести к тому, что контекст у пользователя окажется крайне широким и определённая активность не будет считаться аномальной несмотря на нетипичность для новой роли сотрудника. Механизм переобучения ориентирован именно на то, чтобы не допустить такого состояния.

Оба параметра — автоматического переобучения и дообучения — доступны к настройке из интерфейса системы. Пользователь может настроить интервалы под реалии своей инфраструктуры.

 

Рисунок 8. Настройки обучения системы R-Vision SENSE

Настройки обучения системы R-Vision SENSE

 

Оповещения

Разработчики постарались максимально упростить опции управления оповещениями в R-Vision SENSE. Для получения оповещений пользователю необходимо настроить соответствующие правила и задать всего два простых условия по определённому типу объекта — лимит рейтинга и интервал времени, за который лимит должен быть превышен для формирования оповещения. При выполнении условий в системе появится соответствующее оповещение, а также придут уведомления по электронной почте указанным адресатам, если те заданы. Кроме того, возможна отправка уведомлений во внешние системы, в том числе реализована интеграция с системой R-Vision IRP. Механизм оповещения учитывает все аномалии по каждому из объектов и выставляет критическую значимость, которая рассчитывается автоматически по величине превышения лимита (допустимого порога).

 

Рисунок 9. Создание правила оповещения в R-Vision SENSE

Создание правила оповещения в R-Vision SENSE

 

Каждое оповещение содержит следующие подробности:

  • критическую значимость или уровень угрозы,
  • тип и описание объекта,
  • текущий рейтинг и лимит,
  • сводку по найденным аномалиям.

Для дальнейшего погружения в контекст по кнопке «Расследовать» можно сразу перейти в таймлайн объекта, и система автоматически прокрутит таймлайн к моменту срабатывания оповещения.

 

Рисунок 10. Перечень оповещений в R-Vision SENSE

Перечень оповещений в R-Vision SENSE

 

Рисунок 11. Детали оповещения в R-Vision SENSE

Детали оповещения в R-Vision SENSE

 

Дашборды

Для мониторинга работы R-Vision SENSE пользователю предлагаются конструктор создания виджетов и несколько готовых дашбордов. Чтобы создать виджет, необходимо выбрать только его тип, а большая часть данных будет заполнена автоматически.

В продукте доступны следующие типы виджетов:

  • Статистика
    • Пользователи
    • Учётные записи
    • Оборудование
    • События
    • Объекты
    • Простые правила
    • Эксперты
    • Трафик
    • Угрозы
  • Рейтинг
    • Топ аномальных пользователей
    • Топ аномальных учётных записей
    • Топ аномального оборудования
    • Топ простых правил
    • Топ экспертов
    • Топ аномалий

Рисунок 12. Дашборд в R-Vision SENSE

Дашборд в R-Vision SENSE

 

Выводы

Аналитическая платформа кибербезопасности R-Vision SENSE 1.5 — молодой продукт, который тем не менее востребован на рынке. По данным разработчика, в настоящий момент проводится порядка двадцати пилотных проектов. Наиболее частый сценарий использования платформы — установка в дополнение к текущим средствам мониторинга для получения более качественной аналитики, чем та, что предоставляют классические системы SIEM и лог-менеджмента, для снижения количества ложных срабатываний, а также для выявления неочевидных атак и инцидентов, которые сложно обнаружить с помощью привычных правил корреляции.

Среди достоинств платформы можно выделить наличие хорошо продуманной скоринговой модели, которая генерирует оповещение только при накоплении определённого количества уведомлений. Это позволяет ИБ-аналитику фокусироваться не на каждом срабатывании из SIEM, а только на тех из них, где произошло превышение порогового значения рейтинга опасности объекта в заданную пользователем единицу времени.

Отдельно можно отметить использование универсального представления данных, что обеспечивает адаптивность аналитических инструментов к изменениям источников. Ещё один плюс — предварительная фильтрация и нормализация событий. Платформа не дублирует SIEM, а хранит лишь минимально необходимый для анализа набор данных, что позволяет экономно использовать ресурсы хранилища.

Планы вендора по развитию продукта весьма амбициозны. Основной упор в новых версиях будет сделан на расширении модели данных, совершенствовании аналитических инструментов и охвате большего числа пользовательских сценариев.

Достоинства:

  • Гибкость аналитических инструментов и их адаптивность к изменениям в инфраструктуре заказчика и источниках событий.
  • Возможность индивидуализации продукта пользователем, самостоятельного создания новых правил и программных экспертов без навыков программирования и знания какого-либо специального языка запросов.
  • Обработка больших объёмов событий за счёт горизонтального масштабирования и распараллеливания нагрузки.
  • Удобный интерфейс, позволяющий быстро переключаться между объектами наблюдения, изучать контекст событий и расследовать аномалии.
  • Работа с универсальной моделью данных, за счёт чего при добавлении нового источника данных не требуется перенастраивать правила детектирования.

Недостатки:

  • На текущий момент в системе отсутствует возможность формирования документальных отчётов.
  • Нет гибкого конструктора виджетов для дашбордов.
  • Нет сертификата ФСТЭК России.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.