Поиск
Security Vision UEBA
Обзор продукта
Security Vision UEBA обнаруживает изменения в работе пользователей и учётных записей, устройств и процессов, объёмных показателей трафика и других поведенческих атрибутов.
Анализируя сырые потоки данных из разных источников (озёра данных, SIEM, NGFW, proxy-сервера и другие сетевые и Windows/Linux устройства) продукт обеспечит обнаружение новых типов инцидентов. Встроенные возможности поведенческого анализа можно дополнять, настраивая новые или адаптируя существующие sigma-правила и правила корреляции.
Подробнее
Модуль поведенческого анализа позволяет автоматически выстраивать типовые модели поведения объектов инфраструктуры (пользователей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи Windows/Linux серверов и рабочих станций, прокси-серверов, почтовых серверов, и др.) и выявлять отклонения посредством применения различных правил и моделей машинного обучения. Решение адаптируется под ландшафт данных и обучается на реальном потоке событий. Также решение предоставляет гибкие инструменты по анализу, расследованию и реагированию.
Основной функционал:
Система автоматически обучается на основании сырых событий по каждому объекту инфраструктуры. Учитываются как характеристики объектов и их взаимодействия, так и количественные показатели: объем трафика, количество соединений, время входа и др. По результатам обучения модуль детектирует отклонения и сохраняет их в виде событий с заданным весом, уникальным для каждого правила выявления отклонений.
После накопления событий система запускает стандартное правило корреляции, которое находит объекты и события по ним, и создаёт инцидент по каждому объекту инфраструктуры. Все выявленные ранее события группируются по объектам. минимизируя количество ложноположительных срабатываний (инциденты создаются только при накоплении определённого количества событий по каждому отдельному объекту с суммарным весом, превышающих пороговое значение).
Предустановлены различные ML-модели и специализированные правила выявления аномалий (с возможностью коррекции и расширения параметров через UI-конструкторы).
Для уведомления по различным значимым событиям всех участников процесса предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений. Для формирования отчётности в модуле предусмотрен экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
Security Vision UEBA обнаруживает изменения в работе пользователей и учётных записей, устройств и процессов, объёмных показателей трафика и других поведенческих атрибутов.
Анализируя сырые потоки данных из разных источников (озёра данных, SIEM, NGFW, proxy-сервера и другие сетевые и Windows/Linux устройства) продукт обеспечит обнаружение новых типов инцидентов. Встроенные возможности поведенческого анализа можно дополнять, настраивая новые или адаптируя существующие sigma-правила и правила корреляции.
Подробнее
Модуль поведенческого анализа позволяет автоматически выстраивать типовые модели поведения объектов инфраструктуры (пользователей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи Windows/Linux серверов и рабочих станций, прокси-серверов, почтовых серверов, и др.) и выявлять отклонения посредством применения различных правил и моделей машинного обучения. Решение адаптируется под ландшафт данных и обучается на реальном потоке событий. Также решение предоставляет гибкие инструменты по анализу, расследованию и реагированию.
Основной функционал:
- анализ сырых потоков данных от различных внешних систем и узлов организации, с автоматическим формированием моделей поведения объектов ИТ-инфраструктуры;
- автоматическое выявление отклонений и аномалий в поведении объектов ИТ-инфраструктуры организации (формирование инцидентов ИБ) с применением разных моделей и методик машинного обучения, с последующим оповещением специалистов службы ИБ;
- поддержка белых списков (для исключений) и списков критичных систем (для автоматического создания инцидентов без учёта событий и их веса);
- методы математической статистики (~50 встроенных правил) и применение машинного обучения (~9 ML-моделей);
- обнаружение изменений в активности учётных записей, устройств и процессов ~30 уникальных правил корреляции и sigma-rules c возможностью адаптации;
- автоматизация базовых действий по реагированию на выявленные инциденты ИБ (обогащение информации по объектам, отправка инцидентов в системы класса SOAR/SIEM, управляющее воздействия путём блокировки объектов для сдерживания).
Система автоматически обучается на основании сырых событий по каждому объекту инфраструктуры. Учитываются как характеристики объектов и их взаимодействия, так и количественные показатели: объем трафика, количество соединений, время входа и др. По результатам обучения модуль детектирует отклонения и сохраняет их в виде событий с заданным весом, уникальным для каждого правила выявления отклонений.
После накопления событий система запускает стандартное правило корреляции, которое находит объекты и события по ним, и создаёт инцидент по каждому объекту инфраструктуры. Все выявленные ранее события группируются по объектам. минимизируя количество ложноположительных срабатываний (инциденты создаются только при накоплении определённого количества событий по каждому отдельному объекту с суммарным весом, превышающих пороговое значение).
Предустановлены различные ML-модели и специализированные правила выявления аномалий (с возможностью коррекции и расширения параметров через UI-конструкторы).
Для уведомления по различным значимым событиям всех участников процесса предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений. Для формирования отчётности в модуле предусмотрен экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
