Вышла R-Vision SIEM 1.8 с аудитом источников ИБ-событий

Вышла R-Vision SIEM 1.8 с аудитом источников ИБ-событий

Вышла R-Vision SIEM 1.8 с аудитом источников ИБ-событий

Компания R-Vision представила новую версию флагманского продукта R-Vision SIEM 1.8 с расширенной функциональностью. В новой версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.

Новый уровень контроля над источниками событий

В новой версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.

Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.

Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.

Мониторинг работоспособности Kubernetes

Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.

В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.

Интеграция с системами каталогов

Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:

  • Аутентифицировать пользователей, используя внешние службы каталогов.
  • Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.
  • Управлять ролями и разрешениями пользователей, импортированных из внешних каталогов.

Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.

Улучшение базовой функциональности в R-Vision SIEM 1.8

Разработчик улучшил базовую функциональность системы R-Vision SIEM 1.8, добавив две новые функции:

  1. Экспорт и импорт дашбордов.

Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.

  1. Шаблоны сообщений для SMTP-интеграции.

При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.

Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.

«Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На данный момент пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи», — подчеркнул Виктор Никуличев, продакт-менеджер R-Vision.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

К ноябрю мошенники создали более 200 доменов с темой чёрной пятницы

До сезона осенних распродаж остается еще месяц, но злоумышленники уже активизировались — начали массово регистрировать сайты с упоминанием «чёрной пятницы» в названии. Такие площадки появляются каждый год с началом осени, а пик приходится на ноябрь.

По данным компании BI.ZONE, вне сезона (с января по август) создается около 100–150 таких доменов в месяц.

Но как только стартует осень, цифры растут в несколько. В сентябре 2024 года появилось 263 домена, в октябре — 780, а в ноябре — уже 2083. В этом году тенденция повторяется: если летом фиксировалось в среднем 128 новых сайтов в месяц, то в сентябре зарегистрировали 202, а в октябре — уже 278. К ноябрю число может снова превысить две тысячи.

При этом, по оценке BI.ZONE, каждый десятый сайт с упоминанием «черной пятницы» может оказаться мошенническим.

Руководитель BI.ZONE DRP Дмитрий Кирюшкин напоминает:

«Ажиотаж вокруг скидок и выгодных покупок мошенники используют каждый год. Такие сайты часто маскируются под реальные магазины — меняют в названии один символ, используют старые логотипы или небрежный дизайн. Главное правило — не вводить личные данные и данные карт, если сайт вызывает хоть малейшее сомнение».

Интересно, что в доменной зоне .ru регистрируется лишь 1–2% подобных сайтов. По словам экспертов, в России «черная пятница» не настолько популярна, как на зарубежных рынках, а часть мошенников просто предпочитает иностранные домены — их сложнее заблокировать.

В то же время специалисты Координационного центра доменов .RU/.РФ отмечают позитивную тенденцию: число фишинговых доменов, копирующих крупные российские площадки вроде Ozon, Wildberries, «Авито» и «Яндекс Маркета», снизилось на 9% по сравнению с прошлым годом.

Аналитик центра Евгений Панков рассказал, что благодаря совместной работе регистраторов и профильных организаций среднее время блокировки вредоносных доменов сократилось до 15 часов.

Однако киберпреступники смещают акцент в другую сторону — в мессенджеры. За год число фишинговых сайтов, нацеленных на кражу учетных записей в Telegram, выросло в 4,5 раза, а в WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) — более чем в два раза.

Эксперты советуют пользователям быть особенно внимательными в период распродаж: проверять адрес сайта, не переходить по ссылкам из СМС и мессенджеров и не доверять слишком «щедрым» предложениям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru