Security Vision сообщает о выходе новой версии продукта Security Vision UEBA
Продукт Security Vision UEBA автоматически выстраивает типовые модели поведения объектов инфраструктуры (пользователей, учетных записей, устройств, процессов и др.), анализируя сырые потоки данных (сетевой трафик, логи прокси-серверов, почтовых серверов, windows/linux серверов и рабочих станций и др.), выявляет отклонения и предоставляет гибкие инструменты по их анализу, расследованию и реагированию. Об этом CNews сообщили представители Security Vision.
Anomaly Detection
Применение методов Anomaly Detection расширяет возможности выявления аномалий в корпоративной инфраструктуре, применяя большое количество разных моделей и методик Machine Learning, стекируя результаты отдельных моделей и объединяя полученные события в инциденты для дальнейшего расследования.
ML модели
В новой версии Security Vision UEBA существенного расширен набор используемых MLмоделей. Применяются следующие модели: «с учителем» для выявления похожих паттернов реальных атак (предобученные на различных атаках и вредоносных активностях (DDOS, botnet, C&C и др.)), модели «без учителя» для нахождения аномалий среди сетевого трафика и событий с хостов, нейросети (в т.ч. RNN), модели для обнаружения мимикрирующих процессов и др.
Важно отметить, что обработка всех моделей выполняется на инфраструктуре заказчика без необходимости отправки каких-либо данных «в облако». За счет оптимизаций архитектуры и самих моделей требования к инфраструктуре минимизированы и не требуют специализированного оборудования.
Продукт позволяет проводить гибкую настройку всех параметров ML моделей через UI, а также добавлять собственные модели.
Минимизация false-positive сработок
Особый упор сделан на оркестрации работы ML моделей и минимизации false-positive (FP) сработок. Разработаны механизмы автоматического контроля работы и отключения моделей в случае большого количества сработок FP. Также Security Vision UEBA автоматически и регулярно переобучает модели на данных Заказчика для лучшей адаптации к инфраструктуре, потокам данных и их изменениям. Переобучаются также и модели «с учителем», где используемые датасеты типовых атак и вредоносных активностей автоматически объединяются и «растягиваются» на данные по инфраструктуре Заказчика, полученные из обработанных событий. Реализован автоматический подбор параметров модели: Security Vision UEBA в процессе обучения сама подбирает гиперпараметры для достижения лучшего результата сработок и минимизации количества FP.
Статистические методы дают возможность автоматически накапливать статистику по новым параметрам, объемным, частотным и количественным показателям по используемым хостам, процессам, командным строкам, именованным пайпам и многим другим характеристикам отдельно по каждому объекту наблюдения, что также существенно снижает уровень FP сработок и позволяет пользователю через UIгибко настраивать веса, добавлять или корректировать имеющиеся правила.
Правила корреляции
Расширен базовый набор правил корреляции, входящих в состав коробочного решения. Экспертами SecurityVisionбыли разработаны уникальные правила корреляции, позволяющие находить подозрительные действия в потоках сетевого трафика/потоков прокси серверов, а также выявлять подозрительные события на хостах. Данные алерты объединяются вместе со сработками движков статистики и ML, что в итоге позволяет собрать более полный анализ действий подозрительного объекта, учесть каждую сработку правила корреляции со своим уникальным весом (в зависимости от критичности), который будет суммирован с весом событий от других источников наблюдения и в случае превышения порогового значения может привести к созданию инцидента.
Также в Security Vision UEBA встроен полноценный редактор правил корреляции, используя который, можно настраивать правила любой глубины и сложности через UIпродукта.
Отображение объектов и сработок
Переработано отображение всех объектов и сработок для предоставления более полного и удобного функционала анализа и расследования полученных инцидентов: графы связей объектов, автоматическое обогащение данными из внешних и внутренних сервисов, drill-downдо каждого связного объекта, исходные события по объекту с указанием источника и всех атрибутов, динамика поступления событий и др. В Security Vision UEBA встроены действия по базовому реагированию на полученные инциденты (например, с NGFW, active-листами и т.п.) или для отправки инцидентов в SOARи SIEMсистемы.
Используя APIпродукта, можно гибко настраивать получение сработок по объектам, получать подозрительные события и алерты по каждому объекту (например, для обогащения этой информацией инцидентов в SOAR).
Расширение возможностей
Продукт Security Vision UEBA реализован на платформе SecurityVision 5, что позволяет Заказчикам расширять его возможности, создавая как новые объекты наблюдения (включая их карточки, общие представления, процессы обработки и сценарии реагирования), корректировать или расширять процесс обработки выявленных сработок, создавать новые интеграции, корректировать и создавать дашборды и отчеты – все полностью через графические конструкторы, встроенные в UIпродукта.
***
Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision – ИТ-платформа low code/no code, позволяющая роботизировать до 95% программно-технических ИТ/ИБ функций. Является 100% российской разработкой и включена в Единый реестр российских программ для ЭВМ и БД. Программные продукты на платформе Security Vision решают такие задачи, как: создание единого ситуационного центра кибербезопасности; выявление атак и инцидентов кибербезопасности на ранних стадиях за счет анализа событий, поступающих от различных средств защиты информации; консолидация оперативной информации и ее анализ в реальном времени для расследования инцидентов кибербезопасности и принятия управленческих решений; сокращение времени реагирования за счет автоматизации ключевых процедур и сценариев реагирования, роботизации функций оператора информационной безопасности; автоматическое обеспечение контроля соответствия требованиям регуляторов, национальным и международным стандартам.