Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Вышли новые версии UEBA и Anomaly Detection на платформе Security Vision 5

Security Vision сообщает о выпуске новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5. Security Vision UEBA автоматически выстраивает типовые модели поведения (пользователей, учетных записей, устройств, процессов и др.) и находит отклонения, анализируя сырые потоки данных по сетевому трафику, прокси-серверов, почтовых серверов, Windows/Linux серверов и рабочих станций.

Security Vision Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.

Наиболее значимые возможности Security Vision UEBA:

Интеграция с источниками данных

Продукт Security Vision UEBA содержит настроенные коннекторы для получения, нормализации и анализа сырых данных от всех популярных SIEM систем (KUMA SIEM, MaxPatrol SIEM, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), возможность получения событий в универсальных форматах (CEF, LEEF и др.), коннекторы к NGFW и сетевым устройствам (Cisco, CheckPoint, PaloAlto, Juniper и др.), прокси серверам (Squid, Blue Coat), «озерам данных» (Kafka, Elasticsearch), а также получение логов напрямую с Windows/Linux устройств и рабочих станций.

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми иными источниками данных по большому количеству протоколов, включая графический конструктор по нормализации получаемых данных.

Настраиваемые правила и аналитический движок

Пользователям доступно несколько десятков встроенных правил для статистического анализа различных параметров активностей пользователей, учетных записей, хостов, процессов, а также объемных показателей трафика, количества соединений и др. Функционал продукта позволяет гибко расширять и настраивать новые правила анализа, настраивать их активность, оценку и порог влияния на создание итогового инцидента.

Также в платформу встроен полноценный движок правил корреляции, используя который, можно настраивать правила любой глубины и сложности. Для примера в поставку продукта включены sigma-правила и типовые правила корреляции.

Инциденты и реагирование

Все выявленные отклонения автоматически объединяются относительно объекта сработки. При превышении заданных пороговых значений система генерирует инцидент, в котором отражена вся детальная информация об объекте инцидента, связанных объектах и всех выявленных аномальных событиях.

Для обработки инцидентов в продукте настроены автоматизированные действия: отправка в системы IRP/SOAR, отправка в SIEM, добавления в Active List’ы SIEM, добавление в листы блокировки на NGFV, блокировка в сервисе каталогов и др. Пользователь может настройками регулировать выполняемые действия: включать их выполнение автоматически или вручную, управлять их видимостью на карточке инцидента. Аналогичным образом можно управлять и оповещениями по инциденту.

Система автоматически создает отдельные объекты для всех связанных атрибутов инцидента (устройства, учетные записи и др.). По каждому объекту автоматически запускаются сбор и обогащения дополнительными данными из инфраструктуры заказчика или из внешних аналитических сервисов. Процесс сбора данных и обогащения регулируется настройками системы.

Для работы с выявленными инцидентами и связанными объектами в продукте реализованы встроенные рабочие процессы, которые управляют жизненным циклом инцидента, обогащениями, а также позволяют выполнять действия. Встроенный в платформу конструктор рабочих процессов позволяет пользователям кастомизировать необходимый процесс реагирования и настраивать взаимодействие с внешними системами.

В платформе доступны гибкие возможности по созданию и настройке дополнительных действий по реагированию, сбору и обогащению данными как полученного инцидента, так и всех связанных с ним объектов инфраструктуры заказчика или внешних систем.

Визуализация и отчетность

В карточке инцидента все выявленные события по объекту отображены в виде Timeline с соблюдением хронологии их возникновения. Большое количестве ссылок на связанные объекты (устройства, учетные записи, процессы и др.) позволяет переходить на их карточки для получения дополнительных данных и анализа.

Дополнительно все связанные объекты и атрибуты отображаются в виде графа, который позволяет выстроить связи между объектами инцидента и быстро перейти на детальную информацию по ним. Пользователь может добавлять дополнительные действия на графе для реагирования, обогащения данными или построения дополнительных связей.

Общие представления и дашборды позволяют посмотреть сводную информацию по всем выявленным объектам, в соответствии с рассчитанным рейтингом. Drill-down позволяет просмотреть детализацию по каждой группе анализа.

По каждому объекту в системе реализована возможность выгрузки отчетов, содержащих всю детальную информацию о выявленных сработках и объектах нарушений. Сводные отчеты за период могут быть выгружены вручную или получены по расписанию по различным каналам: по электронной почте, Telegram и др.

Конструктор отчетности и дашбордов, встроенный в платформу, позволяет пользователям самостоятельно настраивать требуемую отчетность и визуализацию данных в режиме no-code без использования каких-либо внешних продуктов и тулов.

Наиболее значимые возможности Security Vision Anomaly Detection:

В дополнение ко всем указанным выше возможностям пользователь получает большое количество преднастроенных и обученных моделей Machine Learning, которые существенно расширяют возможности по детекту аномальных и подозрительных действий в корпоративной инфраструктуре, не выявляемых правилами корреляции и функционалом стандартных СЗИ.

В продукте применяются различные методики ML, обученные модели на различных датасетах, связанных с активностью ботнетов, ВПО, DDOS атак и др., модели «без учителя», автоматически апроксимирующих активности и выявляющих отклонения по различным комбинациям параметров, нейросети, учитывающих последовательность событий и их взаимосвязи и др. Полученные в результате сработки автоматически обрабатываются, группируются в наборы событий, применяется дедупликация данных.

Применяемые в продукте модели автоматически регулярно переобучаются на данных заказчика, адаптируясь под настройки инфраструктуры, сетевую, техническую и пользовательскую активность. Используется как ручной, так и автоматический подбор параметров моделей для повышения качества выявляемых сработок.

В продукте встроены возможности применения «белых списков» для настройки исключений. Также модели автоматически учитывают сработки false-positive при последующем переобучении моделей.

Apple грозит штраф до 4 млрд рублей из-за поиска и российского ПО на iPhone

Федеральная антимонопольная служба выдала Apple предупреждение из-за условий работы российских поисковых систем и предустановки отечественного ПО на устройствах с iOS. Претензия первая: на iPhone и iPad по умолчанию стоит иностранная поисковая система.

А если пользователь хочет пользоваться российским поисковиком, ему приходится лезть в настройки и менять всё вручную.

В ФАС считают, что такой подход создает дискриминационные условия для отечественных разработчиков и ущемляет интересы пользователей.

Ведомство напомнило, что по российскому законодательству на технически сложных товарах, продаваемых в России, должна быть предусмотрена возможность работы по умолчанию с российской поисковой системой или поисковиком из страны ЕАЭС.

Вторая претензия касается предустановки российского ПО на устройства Apple. По данным ФАС, компания не исполняет требования о наличии отечественных приложений на iOS-устройствах. В частности, речь идет о национальном мессенджере и российском магазине приложений.

Служба ссылается на закон о защите конкуренции и уже сложившуюся практику по делам против Apple, которую ранее подтвердили суды.

Теперь у компании есть срок до 15 июля 2026 года, чтобы исполнить предупреждение. Если Apple этого не сделает, ФАС может возбудить антимонопольное дело.

По предварительной оценке ведомства, в случае установления нарушения штраф для Apple может составить до 4 млрд рублей.

В ФАС также отметили, что претензии к Apple рассматривают антимонопольные органы и в других странах, включая государства БРИКС. Речь идет о жалобах пользователей и разработчиков на дискриминационные действия корпорации.

RSS: Новости на портале Anti-Malware.ru