Модуль для коммерческой версии RuSIEM, дополняющий систему технологиями машинного обучения (ML) и Deep Learning (DL) для обнаружения угроз и поведенческих аномалий. Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
Модуль для коммерческой версии RuSIEM, дополняющий систему технологиями машинного обучения (ML) и Deep Learning (DL) для обнаружения угроз и поведенческих аномалий. Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
Система использует подходы Deep Learning (DL) и машинного обучения (ML), что позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.
Подсистема BASELINE предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и выявление аномалий в инфраструктуре на их основе.
Поведенческий анализ предназначен для выявления на ранних стадиях инцидентов информационной безопасности, связанных с аномалиями в поведении пользователей или сущностей.
Дополнительно модуль поведенческого анализа позволяет отслеживать аутентификацию пользователей и предоставляет возможность генерации инцидентов при входе любого пользователя в любую систему-источник с IР-адреса, вход с которого ранее не осуществлялся данным пользователем, либо на хост, вход на который ранее не осуществлялся данным пользователем.
Функция поведенческого анализа также предоставляет возможность создания пользовательских сценариев входа и выхода.
Отслеживание аутентификации
Отслеживание аутентификации - благодаря статистике, работе машинного обучения (ML) система определяет легитимные действия. При создании триггера можно выявлять подозрительные\не легитимные действия, которые нельзя обнаружить обычными правилами корреляции.
Управление уязвимостями
Система содержит регулярно обновляемую базу уязвимостей с возможностью поиска по CVE, CVSS и ключевым словам. Данные берутся из БДУ ФСТЭК, Nist и cwe.mitre.org.
Управление ИТ-активами
RuSIEM Analytics собирает информацию об оборудовании, сети, пользователях и дисковом пространстве. Наполнение активов происходит как активными, так и пассивными методами.
Пример работы Baseline
Пользователь user111 обычно удаляет 20 файлов по понедельникам и 40 по четвергам. Вдруг он удаляет 200 файлов за час, что не похоже на его обычную активность в данное время.
Baseline фиксирует аномалию
Запускается корреляция и создается инцидент
Отслеживаются попытки входа, изменение конфигураций, частые ошибки, атаки и сбои
Преимущества RuSIEM Analytics
Автоматическое выявление угроз
Система работает на основе поведения и выявляет отклонения без ручных сценариев
Гибкая настройка аналитики
Создание baseline-правил под любые параметры
Прозрачность
Все действия фиксируются и визуализируются
Реальная картина активов
Данные об оборудовании, соединениях и пользователях в одном месте
RuSIEM Analytics — мгновенное обнаружение угроз на основе машинного обучения
Интеллектуальный анализ событий на основе симптомов и поведенческих аномалий позволяет выявлять инциденты, которые нельзя описать правилами корреляции
Часто задаваемые вопросы
Как RuSIEM Analytics обнаруживает угрозы, если я не прописываю правил вручную?
Модуль использует технологии Deep Learning (DL) и машинного обучения (ML) для выявления поведенческих аномалий. Он строит baseline-модель на основе вашей собственной истории событий — учитывает день недели, ключевые параметры (например, имя пользователя + тип действия), допустимый процент отклонений и многое другое. Если происходит нетипичное поведение (например, резкий рост числа удалений файлов или неудачных попыток входа), система зафиксирует отклонение, сформирует событие, а затем — инцидент через механизм корреляции.
Модуль ML требует настройки или работает сам?
ML-модуль работает полностью автономно. Он обучается на собственных данных и оценивает веса симптомов в разрезе объектов: хостов, пользователей, сервисов и т.д. При выялении подозрительного поведения (например, всплеска критичных симптомов, множественных повторений событий и т.д.) он автоматически инициирует событие и инцидент. Настройка со стороны оператора не требуется, но при необходимости можно подключить и пользовательские правила baseline.
Как формируется правило аналитики в Baseline?
Правило baseline состоит из набора параметров:
Наблюдаемая связка ключей (до 21 ключа в одном правиле)
Учет уникальности дня (например, сравнение понедельников с понедельниками)
Допустимый отклонение от нормы (3-sigma rule)
Такое правило позволяет гибко отслеживать как индивидуальные действия пользователей, так и массовые события в инфраструктуре (например, рост ошибок HTTP или отказов доступа).
Какие источники данных поддерживает RuSIEM Analytics?
Модуль "RuSIEM Analytics" пропускает через себя все события, которые попадают в систему RuSIEM.
Можно ли работать со стандартами соответствия, помимо PCI DSS?
Да. В модуле предусмотрен предустановленный стандарт PCI DSS 3.1, но вы можете создать собственный стандарт или политику. Это включает задание технических контролей, определение области охвата (scope) и формирование отчётов, которые показывают соответствие или несоответствие по каждому пункту.
Как система управляет активами и обновляет данные о них?
Активы формируются и обновляются автоматически на основе модуля агента system.info. Информация включает физическое оборудование, версии ОС, патчи, сетевые соединения и многое другое. Также поддерживается разделение на статические и динамические группы — например, можно создать группу с условием «открыт порт 22», и система будет динамически поддерживать её актуальность.
Получите демо-доступ
Попробуйте демо-версию или получите консультацию специалиста, мы свяжемся с Вами в течение рабочего дня
Система использует подходы Deep Learning (DL) и машинного обучения (ML), что позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.
Отслеживание аутентификации - благодаря статистике, работе машинного обучения (ML) система определяет легитимные действия. При создании триггера можно выявлять подозрительные\не легитимные действия, которые нельзя обнаружить обычными правилами корреляции.
Система содержит регулярно обновляемую базу уязвимостей с возможностью поиска по CVE, CVSS и ключевым словам. Данные берутся из БДУ ФСТЭК, Nist и cwe.mitre.org.
RuSIEM Analytics собирает информацию об оборудовании, сети, пользователях и дисковом пространстве. Наполнение активов происходит как активными, так и пассивными методами.
