![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Компания Security Vision сообщила о выпуске масштабного обновления своей SIEM-платформы. Новая версия ориентирована на упрощение работы SOC-команд и расширение возможностей по сбору, анализу событий и реагированию на инциденты — без резкого усложнения архитектуры и процессов. Обновлённая Security Vision SIEM построена на единой No Code / Low Code-платформе Security Vision 5.
Это позволяет гибко настраивать систему под инфраструктуру заказчика, масштабировать её без переработки логики и при необходимости интегрировать с другими продуктами экосистемы Security Vision.
Активы — в одном контексте
Одним из ключевых изменений стал встроенный модуль Assets Management. Он формирует единую витрину ИТ-активов, выполняя их сканирование, идентификацию и инвентаризацию. Активы можно группировать и классифицировать по ролям и критичности, что даёт аналитику дополнительный контекст при расследовании инцидентов — от понимания сегмента сети до бизнес-значимости конкретного хоста или сервиса.
Сбор событий без жёсткой привязки к инфраструктуре
В новой версии переработан механизм сбора событий. SIEM поддерживает как агентский, так и удалённый сбор данных, в том числе через цепочки распределённых коннекторов в разных сегментах сети. Агенты могут продолжать накапливать события офлайн и передавать их в систему при восстановлении соединения.
Подключение источников упрощено за счёт типовых профилей заданий — настройки можно переиспользовать и быстро масштабировать. В системе уже предусмотрены профили для популярных методов сбора, включая WMI, Syslog, JDBC/ODBC и HTTP. Через единую консоль также выполняется управление логированием и установка агентов.
Нормализация без кода и мощная корреляция
Для большинства распространённых источников журналов — от Microsoft Server и DNS до Kubernetes, PostgreSQL и 1С — в продукте уже заложены готовые схемы нормализации. Это позволяет быстрее подключать инфраструктуру и сразу получать события в едином формате без ручной доработки.
Корреляционный движок дополнен графическим No-Code-редактором правил. Аналитики могут собирать сложные сценарии с вложенными условиями, временными зависимостями и логикой «отрицания», когда тревожным сигналом становится отсутствие ожидаемого события. Система также умеет корректно восстанавливать цепочки атак, даже если события поступают от разных источников с задержкой.
Из коробки доступно более тысячи правил корреляции, покрывающих около 73% техник MITRE ATT&CK, с привязкой как к самой матрице, так и к БДУ ФСТЭК.
Реагирование и ML-подсказки
Карточка инцидента в обновлённой SIEM объединяет данные об активах, артефактах, исходных событиях и алертах, а также рекомендации по реагированию. Прямо из карточки можно запускать ответные действия, создавать задачи (в том числе во внешних ITSM-системах), общаться с коллегами и передавать информацию через почту или мессенджеры.
В систему встроены несколько ML-моделей: для оценки вероятности ложного срабатывания, поиска похожих инцидентов и определения критичности с учётом масштаба и значимости затронутых активов. Все результаты отображаются там же, в карточке инцидента.
Работа с историей и мониторинг состояния
Отдельно в SIEM реализована ретроспективная проверка правил корреляции. Аналитики могут запускать новые или изменённые правила на уже собранных данных и смотреть, какие атаки могли быть пропущены ранее.
Для контроля состояния системы доступен набор дашбордов и отчётов, а также конструктор для создания собственных представлений без кода. Специальный дашборд мониторинга SIEM показывает ключевые метрики, аномалии в потоке событий, проблемные источники и правила с повышенным уровнем шума.
В целом обновление выглядит как попытка сделать SIEM более управляемой и удобной в повседневной эксплуатации — с акцентом на контекст, автоматизацию и снижение ручной нагрузки на SOC-аналитиков, без радикальной смены подхода к архитектуре.
