Security Vision обновила SIEM: больше контекста и автоматизации для SOC

Компания Security Vision сообщила о выпуске масштабного обновления своей SIEM-платформы. Новая версия ориентирована на упрощение работы SOC-команд и расширение возможностей по сбору, анализу событий и реагированию на инциденты — без резкого усложнения архитектуры и процессов. Обновлённая Security Vision SIEM построена на единой No Code / Low Code-платформе Security Vision 5.

Это позволяет гибко настраивать систему под инфраструктуру заказчика, масштабировать её без переработки логики и при необходимости интегрировать с другими продуктами экосистемы Security Vision.

Активы — в одном контексте

Одним из ключевых изменений стал встроенный модуль Assets Management. Он формирует единую витрину ИТ-активов, выполняя их сканирование, идентификацию и инвентаризацию. Активы можно группировать и классифицировать по ролям и критичности, что даёт аналитику дополнительный контекст при расследовании инцидентов — от понимания сегмента сети до бизнес-значимости конкретного хоста или сервиса.

Сбор событий без жёсткой привязки к инфраструктуре

В новой версии переработан механизм сбора событий. SIEM поддерживает как агентский, так и удалённый сбор данных, в том числе через цепочки распределённых коннекторов в разных сегментах сети. Агенты могут продолжать накапливать события офлайн и передавать их в систему при восстановлении соединения.

Подключение источников упрощено за счёт типовых профилей заданий — настройки можно переиспользовать и быстро масштабировать. В системе уже предусмотрены профили для популярных методов сбора, включая WMI, Syslog, JDBC/ODBC и HTTP. Через единую консоль также выполняется управление логированием и установка агентов.

Нормализация без кода и мощная корреляция

Для большинства распространённых источников журналов — от Microsoft Server и DNS до Kubernetes, PostgreSQL и 1С — в продукте уже заложены готовые схемы нормализации. Это позволяет быстрее подключать инфраструктуру и сразу получать события в едином формате без ручной доработки.

Корреляционный движок дополнен графическим No-Code-редактором правил. Аналитики могут собирать сложные сценарии с вложенными условиями, временными зависимостями и логикой «отрицания», когда тревожным сигналом становится отсутствие ожидаемого события. Система также умеет корректно восстанавливать цепочки атак, даже если события поступают от разных источников с задержкой.

Из коробки доступно более тысячи правил корреляции, покрывающих около 73% техник MITRE ATT&CK, с привязкой как к самой матрице, так и к БДУ ФСТЭК.

Реагирование и ML-подсказки

Карточка инцидента в обновлённой SIEM объединяет данные об активах, артефактах, исходных событиях и алертах, а также рекомендации по реагированию. Прямо из карточки можно запускать ответные действия, создавать задачи (в том числе во внешних ITSM-системах), общаться с коллегами и передавать информацию через почту или мессенджеры.

В систему встроены несколько ML-моделей: для оценки вероятности ложного срабатывания, поиска похожих инцидентов и определения критичности с учётом масштаба и значимости затронутых активов. Все результаты отображаются там же, в карточке инцидента.

Работа с историей и мониторинг состояния

Отдельно в SIEM реализована ретроспективная проверка правил корреляции. Аналитики могут запускать новые или изменённые правила на уже собранных данных и смотреть, какие атаки могли быть пропущены ранее.

Для контроля состояния системы доступен набор дашбордов и отчётов, а также конструктор для создания собственных представлений без кода. Специальный дашборд мониторинга SIEM показывает ключевые метрики, аномалии в потоке событий, проблемные источники и правила с повышенным уровнем шума.

В целом обновление выглядит как попытка сделать SIEM более управляемой и удобной в повседневной эксплуатации — с акцентом на контекст, автоматизацию и снижение ручной нагрузки на SOC-аналитиков, без радикальной смены подхода к архитектуре.