Леон Панетта
R-Vision сообщила о крупном обновлении экспертного контента для R-Vision SIEM. Главная идея изменений — сделать срабатывания не просто заметными, а более понятными для аналитиков SOC: правила корреляции теперь сопровождаются расширенным контекстом, описаниями на естественном языке и рекомендациями по реагированию.
Одна из ключевых технических основ обновления — переход на Универсальную модель событий 2.0. Начиная с версии 2.4, система использует новый стандарт описания событий, построенный на субъектно-объектном подходе.
За это время команда выпустила 10 релизов экспертных пакетов под новую модель — с обновлёнными правилами нормализации и корреляции, а также с более читаемым и полезным контекстом для расследований.
По данным компании, обновлённые правила нормализации позволяют ускорить обработку событий до 45% по сравнению с правилами для предыдущей версии модели. Кроме того, в событиях появились поля категоризации, которые помогают привести данные из разных систем к общей семантике. Проще говоря, это должно сократить время на ручную расшифровку событий и упростить расследование.
Заметно изменились и сами правила корреляции. Теперь они содержат не только логику детектирования, но и дополнительные поля: список нужных источников данных, ссылки на аналитические материалы, привязку к техникам и тактикам MITRE ATT&CK, таксономию инцидента с категорией и типом, а также пошаговые рекомендации по реагированию. То есть правило всё меньше похоже на «чёрный ящик» и всё больше — на уже подготовленную карточку для разбора инцидента.
Отдельно отмечается, что корреляционные события теперь дополняются описанием на естественном языке: кто, когда, где и что сделал. Для аналитика это выглядит удобнее, чем разбор сухого набора полей, особенно если речь идёт о быстром первичном анализе подозрительной активности.
Ещё одна важная часть обновления — unit-тесты для правил корреляции. Каждое правило сопровождается примерами эталонных событий, чтобы было проще понять, как именно работает детектирование и как проверить корректность настройки в инфраструктуре заказчика.
По данным R-Vision, за последние два года команда выпустила более 50 релизов экспертизы, а новые и доработанные правила выходят раз в две недели. Такой ритм позволяет быстрее добавлять поддержку новых источников и сценариев мониторинга, без долгих пауз между обновлениями.
Сейчас правила нормализации, как сообщается, покрывают более 250 источников — от операционных систем и защитных решений до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции в R-Vision SIEM превышает 850.
Компания также отдельно подчёркивает покрытие матрицы MITRE ATT&CK v17.1: по её оценке, актуальные пакеты экспертизы закрывают более 65% матрицы за счёт маппинга правил корреляции на техники и тактики атакующих. Для заказчиков это, по сути, способ понять, где мониторинг уже выстроен неплохо, а где остаются пробелы.
Помимо самих правил, в состав экспертизы входят и вспомогательные материалы: таблицы обогащения, активные списки, витрины данных и конвейеры нормализации в виде импортируемых объектов. Часть этих материалов, включая некоторые конвейеры, доступна публично. Также открыт справочный портал по настройке источников событий и публикуются аналитические материалы, которые готовятся в процессе разработки правил.
