R-Vision SIEM

Основная статья: Security Information and Event Management (SIEM)

2025

Совместимость с Platform V DropApp

СберТех и R-Vision подтвердили совместимость решения для управления контейнерными приложениями Platform V DropApp и системы управления событиями безопасности R-Vision SIEM. Компании провели тестирование своих продуктов в едином технологическом контуре и убедились в их корректной комплексной работе. Подтвержденная совместимость решений открывает заказчикам новые возможности для построения безопасной, масштабируемой ИТ-инфраструктуры на базе отечественных сертифицированных продуктов. Об этом СберТех сообщил 28 ноября 2025 года. Подробнее здесь.

Совместимость с Deckhouse Kubernetes Platform Certified Security Edition

R-Vision и Флант (Flant) 28 октября 225 года объявили о совместимости системы управления событиями безопасности R-Vision SIEM и платформы контейнеризации Deckhouse Kubernetes Platform Certified Security Edition. По итогам совместного тестирования был подписан сертификат совместимости, удостоверяющий корректную работу систем в едином технологическом контуре.

Тестирование показало, что R-Vision SIEM корректно разворачивается и функционирует в среде DKP, сохраняя полную функциональность в части мониторинга и обработки событий ИБ. Использование контейнерной архитектуры Deckhouse обеспечивает масштабируемость решения и позволяет гибко адаптировать его под инфраструктуру заказчика.

Совместимость R-Vision SIEM с Deckhouse Kubernetes Platform подтверждает готовность наших решений к работе в контейнерных инфраструктурах. Это расширяет возможности заказчиков по построению гибких, масштабируемых и безопасных систем мониторинга и реагирования на инциденты, соответствующих требованиям регуляторов и корпоративным стандартам безопасности, — отметил Виктор Никуличев, Руководитель продукта R-Vision SIEM.

Deckhouse Kubernetes Platform обеспечивает предсказуемое развертывание, управление и масштабирование контейнеризированных приложений в соответствии с требованиями ФСТЭК. Подтверждённая совместимость с R-Vision SIEM гарантирует корректную интеграцию компонентов системы сбора и анализа событий безопасности в Kubernetes-окружении, включая стабильную работу под нагрузкой и соблюдение требований к защите информации, — отметил Константин Аксёнов, директор департамента разработки Deckhouse компании «Флант».

Подтверждённая совместимость решений открывает заказчикам новые возможности по построению гибкой, масштабируемой и сертифицированной ИТ-инфраструктуры на базе отечественных технологий.

Совместимость с «Ред ОС» 8

Компании Ред Софт и R-Vision 22 октября 2025 года сообщили о завершении испытаний на совместимость операционной системы Ред ОС 8 c решением для мониторинга безопасности инфраструктуры R-Vision SIEM и системой управления уязвимостями R-Vision VM.

Совместное использование РЕД ОС 8 с R-Vision SIEM и R-Vision VM обеспечивает возможность построения современной отказоустойчивой инфраструктуры для ключевых компонентов киберзащиты компании. Заказчики получают предсказуемую работу систем, упрощение развертывания и эксплуатации, оптимизацию нагрузки на ИТ- и ИБ-ресурсы, а также возможность масштабирования и долгосрочную поддержку решений.

Для нас важно не только обеспечить высокий уровень защиты корпоративных систем, но и сделать переход на отечественное ПО максимально комфортным для бизнеса. Совместимость с РЕД ОС 8 подтверждает, что компании могут строить инфраструктуру на базе российских решений без компромиссов в безопасности и производительности, отметил Владимир Оралов, руководитель отдела технологического партнёрства и клиентского опыта R-Vision.

Со своей стороны, мы как разработчик операционной системы обеспечили тот самый стабильный и безопасный фундамент, который позволяет продуктам R-Vision раскрывать потенциал своих решений в полной мере. Вместе мы предлагаем рынку зрелую, готовую к работе в различных инфраструктурах связку, сказала Виктория Костина, руководитель отдела технологической совместимости «РЕД СОФТ».

Совместимость решений РЕД ОС 8 с R-Vision SIEM и R-Vision VM подтверждена официальными сертификатами.

R-Vision SIEM 2.5

20 октября 2025 года компания R-Vision представила очередное обновление системы управления событиями информационной безопасности — R-Vision SIEM 2.5. Свежие релизы сфокусированы на расширении аналитических возможностей, внедрении активного реагирования на агентах, а также повышают удобство работы пользователя через встроенную оценку покрытия MITRE ATT&CK прямо в интерфейсе продукта.

𝓲

Фото: R-Vision

По информации компании, одним из ключевых изменений стал раздел «Покрытие MITRE ATT&CK», который наглядно показывает, какие техники и подтехники фреймворка обнаруживаются установленными правилами детектирования. Это позволяет специалистам по информационной безопасности оперативно оценивать полноту защиты и планировать развитие системы детектирования с фокусом на наиболее критичные векторы атак.

Вендор продолжает развивать возможности централизованного управления конечными устройствами. В интерфейсе продукта появилась возможность выполнять действия активного реагирования для подключённых конечных станций:

• Удалять подозрительные файлы
• Выполнять самоизоляцию узла
• Осуществлять остановку процессов
• Отправлять файлы
• Добавлять или удалять записей в hosts для блокировки или разблокировки доменов и IP-адресов с использованием техники DNS Sinkholing

Это расширяет сценарии оперативного реагирования и помогает аналитикам SOC быстрее пресекать угрозы.

В обновлении оптимизирован пользовательский опыт аналитика при работе с событиями.

• Найденные события теперь можно добавлять в «Избранное», чтобы собрать все ключевые данные. Такой инструмент помогает аналитику собирать все артефакты расследования в одном месте и при необходимости быстро к ним возвращаться.
• Реализована функция «Сравнение событий» — система подсвечивает отличия между эталонным и текущим событием с точностью до строки/слова/символа.
• В разделе «Поиск» теперь можно в один клик формировать виджеты через кнопку моментального создания и сразу визуализировать полученную статистику.
• Управление отображением данных на дашбордах и отчетах стало гибче благодаря поддержке переменных. Переменные для дашборда позволяют централизованно задавать параметризируемые поля для каждого виджета, благодаря чему достаточно изменить одно значение — и весь дашборд обновляется автоматически, что оптимизирует анализ данных и настройку визуализаций.

В последней версии R-Vision SIEM представлена Универсальная модель события 2.0, построенная по принципу субъектно-объектного описания событий. Такая структура оптимизирует процесс нормализации событий для инженера и одновременно повышает консистентность и облегчает интерпретацию событий для аналитика. Благодаря этому инженеры быстрее создают правила обработки событий, а аналитики получают более понятные и структурированные события для расследований и мониторинга.Суперапп «Молния» — цифровой коридор между Россией, Китаем и странами БРИКС 22.6 т

Кроме того, модели событий теперь поддерживают динамические поля, содержащие структурированные данные типа JSON — обращаться к ним можно как к полю целиком, так и к вложенным объектам и массивам через RQL-запросы.

Дополнительные изменения:

• Сбор событий из файлов: добавлены точки входа FTP и SMB для мониторинга изменений и сбора событий с удалённых ресурсов.
• Аудит записей активных списков: теперь система фиксирует все операции пользователей и правил корреляции над записями активных списков, создавая события аудита, которые можно повторно использовать для корреляции и дальнейшего анализа.
• Определение источников по маске: в политиках аудита источников реализована возможность идентифицировать группы источников по набору полей события, без привязки к точкам входа и конвейерам. Это позволяет более гранулярно идентифицировать источник для наблюдения.

В фокусе последних релизов R-Vision SIEM — создание единой среды, в которой аналитик может не только исследовать события, но и мгновенно действовать. рассказал Виктор Никуличев, Руководитель продукта R-Vision SIEM

Совместимость с «Гарда DLP»

Компании-разработчики подтвердили совместимость системы защиты данных от утечек «Гарда DLP» и системы управления ИБ-событиями R-Vision SIEM. Эта интеграция позволяет расширить функциональность решений. События, фиксируемые DLP, объединяются с событиями в SIEM и создают наглядную картину кибератак, а также повышают степень интеграции продукта в инфраструктуру компании. Об этом компании сообщили 17 сентября 2025 года. Подробнее здесь.

Обновленные правила детектирования для Microsoft Windows Linux, MySQL, Oracle DB, VMware vCenter и ESXi, Open VPN

16 июля 2025 года компания R‑Vision сообщила о том, что в систему мониторинга безопасности инфраструктуры R-Vision SIEM добавлены пакеты экспертизы, которые включают 263 дополнительных правила детектирования, правила нормализации для поддержки различных источников событий, а также оптимизации существующего контента. На данный момент система предоставляет «из коробки» более 750 правил детектирования.

𝓲

Фото: R‑Vision

По информации компании, среди обновлений — правила детектирования для Microsoft Windows Linux, MySQL, Oracle DB, VMware vCenter и ESXi, Open VPN. А также значительное расширение покрытия для Microsoft SQL Server и Kubernetes.

Kubernetes активно используется для развёртывания микросервисных приложений, в том числе в облачной и гибридной инфраструктуре. Это расширяет поверхность атаки, что привлекает злоумышленников. Наиболее распространённые методы — злоупотребление механизмами управления доступом (RBAC) и попытки получения доступа к критичным пространствам имён, таким как kube-system. Для более эффективного выявления таких угроз мы значительно расширили набор правил детектирования в R-Vision SIEM. рассказала Диана Гулина, руководитель отдела анализа и выявления угроз кибербезопасности R-Vision

Кроме того, в рамках технического партнёрства с российскими вендорами были добавлены правила детектирования для таких систем, как Гарда WAF, Infowatch TM, S-Terra Gate и Secret Net Studio.

Команда исследователей R-Vision анализирует актуальные хакерские группировки и атаки, выявляет способы эксплуатации уязвимостей и пути их обнаружения, на основе чего разрабатывает правила детектирования, а также оптимизирует уже имеющиеся правила с учетом вводных. Среди них:

• Выявление использования утилиты LocaltoNet, которая применяется атакующими для организации туннелей из интернета во внутреннюю сеть. Это позволяет обходить сетевые ограничения и скрытно взаимодействовать с заражёнными машинами. Например, группировка APT Morlock использовала LocaltoNet при атаках на IT-подрядчиков для закрепления в инфраструктуре и доступа к основным целям.
• Обнаружение эксплуатации уязвимости CVE-2025-24071, связанной с обработкой файлов в Windows Explorer. Атакующий может спровоцировать утечку NTLMv2-хэша, заставив систему открыть специально подготовленный файл с расширением .library-ms. Эта техника позволяет получать учётные данные без взаимодействия с пользователем.
• Детектирование злоупотребления утилитой ssh.exe, включая создание скрытых туннелей, перехват NTLM-хэшей и удалённое выполнение команд без явного подключения к серверу. Известно, что группировка ToddyCat использовала ssh.exe для туннелирования трафика.
• Детектирование злоупотребления расширениями браузеров – распространённая практика, при которой вредоносный код внедряется в популярные расширения, что в последующем может приводить к хищению данных пользователей из браузера.

Инфраструктура компаний находится в постоянном развитии, поэтому поддержание дополнительных источников событий, написание и обновление правил нормализации – еще одно важное направление, которым занимается команда исследователей R-Vision. На июль 2025 года R-Vision SIEM поддерживает более 200 источников.

В обновления вошли правила нормализации для таких источников как: Huawei USG, Континент 4, Garda Monitor (NDR), Garda DLP, Garda WAF, Garda DBF, Аврора Центр, ViPNet TIAS, ViPNet IDS NS, Dallas Lock, Kaspersky Secure Mail Gateway, Kaspersky CyberTrace, PT ISIM, Xello, zVirt, Linux auth.log, Lighttpd, NextCloud, OpenVPN Access Server, Microsoft AD DS, Netgate pfSense, CyberPeak, Suricata, HP ProCurve.

В состав пакета экспертизы также включены схемы типовых дашбордов, которые позволяют быстро настроить SIEM под задачи пользователя с использованием готовых компонентов и сразу начать работу. Эти схемы определяют структуру дашборда, правила отображения и обновления информации, а также расположение виджетов.

Актуальный релиз экспертизы доступен всем пользователям с действующей технической поддержкой. Для его использования необходимо обновить R-Vision SIEM до версии 2.3.0 и выше и установить обновление экспертизы.

Совместимость с системой Multifactor

МУЛЬТИФАКТОР и R-Vision заключили соглашение о технологическом партнёрстве. В рамках сотрудничества вендоры провели испытания и подтвердили совместимость R-Vision SIEM с системой двухфакторной аутентификации и контроля доступа MULTIFACTOR. Об этом компания Multifactor сообщила 10 июля 2025 года.

𝓲

Фото: Multifactor

По результатам тестирования стороны подписали сертификат, подтверждающий совместимость.

Интеграция решений R-Vision SIEM и MULTIFACTOR позволяет достичь максимальной безопасности учётных записей, а также обеспечивает более надёжную защиту конфиденциальных данных и корпоративной информации заказчиков.

Мы развиваем собственную экосистему продуктов в сотрудничестве с отечественными разработчиками. Главная задача системы MULTIFACTOR — обеспечить для российских компаний безопасное подключение к корпоративным данным и исключить риски несанкционированного доступа. Я убеждён, что сотрудничество с R-Vision укрепит нашу стратегию по созданию удобной и безопасной отечественной ИТ-экосистемы, — сказал Роман Коротун, директор по продажам МУЛЬТИФАКТОР.

Технологические партнёрства позволяют нам строить более целостные и устойчивые сценарии киберзащиты. Интеграция с MULTIFACTOR усилила контроль над доступом к критически важным ресурсам и расширила возможности выявления и реагирования на инциденты. Мы убеждены, что такие интеграции необходимы, чтобы заказчики могли максимально эффективно использовать свои системы безопасности, — прокомментировал Владимир Оралов, руководитель отдела технологического партнёрства и клиентского опыта R-Vision.

R-Vision SIEM 2.3 с поддержкой пространств и сервисов

Компания R-Vision представила обновленную версию своей системы управления событиями информационной безопасности — R-Vision SIEM 2.3. Обновление направлено на упрощение эксплуатации в географически распределённых инфраструктурах, повышение гибкости сбора данных и усиление контроля доступа к событиям. Об этом R-Vision (Р-Вижн) сообщил 28 мая 2025 года.

Централизованное управление архитектурой сбора данных В версии 2.3 появилась поддержка пространств и сервисов: теперь можно централизованно управлять кластерами SIEM и подключать территориально-удалённые сегменты. Встроенный менеджер пространств позволяет напрямую из интерфейса SIEM подключать внешние узлы и управлять их конфигурацией. В пространстве можно создавать коллекторы и настраивать на них полный цикл обработки событий: сбор, нормализацию, фильтрацию, корреляцию и перенаправление событий. Это особенно актуально для компаний с распределённой инфраструктурой — например, организация с центральной инсталляцией системы в Москве может оперативно управлять и контролировать работу кластеров в других регионах без необходимости локального вмешательства.

Также в элементы конвейера добавлены коннекторы типа Global Bus. Это специальные шины данных для бесшовного обмена данными между коллекторами, в том числе находящимися в разных пространствах.

В систему интегрирован менеджер агентов — специальный компонент для централизованного управления жизненным циклом агентов R-Vision Endpoint, политиками и процессами сбора событий. Это позволяет эффективно собирать данные как из системных журналов и файлов, так и напрямую с рабочих станций и серверов на всех ключевых платформах: Linux, Windows и macOS.

Важное изменение коснулось и аспектов безопасности: в данной версии реализован механизм разграничения доступа к событиям (ABAC). Эта функциональность позволяет настраивать политики доступа к событиям в хранилищах на основе атрибутов событий с помощью языка запросов RQL. Это повышает гибкость и возможности для соответствия внутренним требованиям по контролю доступа. Одна политика может распространяться на несколько ролей и хранилищ событий и содержать несколько правил.

Обновление 2.3 получилось насыщенным. Мы значительно расширили возможности системы для решения задач по сбору и управлению доступом в географически распределенных компаниях и холдингах. Кроме того, мы продолжаем расширять функциональность системы и улучшать опыт работы пользователя. Наша цель — сделать SIEM надежным и удобным помощником в работе аналитиков и инженеров SOC, сказал Виктор Никуличев, руководитель продукта R-Vision SIEM.

Одно из важных изменений - добавление Глобальной функции, нового типа элемента экспертизы, который позволяет задать переиспользуемый блок кода на языке VRL. С помощью глобальной функции можно создавать шаблоны логики обработки событий для повторного использования в различных сценариях, тем самым упрощая настройку правил корреляции и нормализации.

Также значительные улучшения коснулись конструктора правил корреляции:

• появилась настройка фильтрации событий на основе активных списков, таблиц обогащения и глобальных функций;
• добавлены операторы сравнения: In, Like, =null, !=null;
• поддержана возможность возвращения к предыдущим версиям правил для нормализации, корреляции, агрегации и сегментации;
• добавлена настройка ограничений на интенсивность генерации событий: SIEM автоматически отключает правила корреляции, превышающие заданные лимиты по числу корреляционных окон или частоте срабатываний.

В R-Vision SIEM 2.3 поддержано проведение массовых операций с оповещениями: выделенные оповещения можно закрыть или изменить их свойства, такие как уровень угрозы, статус, ответственный пользователь.

Для повышения удобства работы с системой в карточках активных списков и таблиц обогащения добавлена вкладка Связанные элементы, на которой отображаются правила нормализации и корреляции, в которых они используются.

Добавлен режим продвинутого поиска, поддерживающий проекции и группировку результатов. Он заменил собой функциональность раздела RQL-песочница.

В статистике по событиям можно подгружать значения за пределами топ-10, что снимает ограничения на глубину анализа.

Кроме этого, в релиз R-Vision SIEM 2.3 вошли и другие доработки, направленные на улучшение пользовательского опыта.

Интеграция с «Аврора Центр»

R-Vision и «Открытая мобильная платформа» завершили интеграцию решения для управления мобильными устройствами «Аврора Центр» с системой мониторинга событий ИБ R-Vision SIEM. Теперь компании могут контролировать безопасность на мобильных устройствах, повысить прозрачность доступа к ИС и снизить риски инцидентов в мобильном сегменте. Обновление уже доступно в релизе пакета нормализации правил для R-Vision SIEM от 20.02.2025. Об этом R-Vision сообщил 28 апреля 2025 года.

Интеграция закрывает ранее не охваченный сегмент — мониторинг активности мобильных устройств, с которых сотрудники получают доступ к внутренним системам. События от «Аврора Центр» — авторизация, смена конфигурации, действия администратора, изменения политики безопасности — фиксируются в R-Vision SIEM. Они поступают в систему наряду с логами от сетевых экранов, прокси, рабочих станций, Active Directory и антивирусов.

Например, при попытке входа в корпоративную систему с мобильного устройства с изменённой политикой безопасности система инициирует корреляционное правило. В этот момент аналитик получает уведомление об угрозе. Благодаря поддержке формата нормализованных событий такие кейсы легко встраиваются в действующие сценарии реагирования.

Для ИБ-специалистов это означает:

• больше контекста при расследовании — можно отследить цепочку действий пользователя, включая мобильный доступ;
• возможность учитывать риски мобильной среды в корреляционных правилах;
• выполнение требований по контролю мобильных устройств в защищённых и критических сегментах.

Результат нашего сотрудничества является показателем эффективного взаимодействия двух профессиональных команд, нацеленных на повышение корпоративной безопасности за счет подключения к мониторингу событий безопасности мобильных устройств, с которых обеспечивается доступ к корпоративным ИС, — подчеркнул менеджер по технологическому развитию партнеров «Открытой мобильной платформы» Андрей Макаренко.

R-Vision SIEM — ключевой продукт в линейке R-Vision. Система построена на масштабируемой архитектуре. Она поддерживает адаптивную корреляцию, визуализацию цепочек атак, гибкое управление источниками событий и интеграцию с модулями SOAR, UEBA, TIP и VM. Это позволяет построить единый центр мониторинга и реагирования без разрывов в процессе и ручной передачи данных.

Мы последовательно расширяем охват источников событий для R-Vision SIEM, ориентируясь на реальные задачи защиты инфраструктуры. Интеграция с "Аврора Центр" — логичный шаг с учётом растущей роли мобильных устройств в госсекторе и промышленности, — отметил Владимир Оралов, руководитель отдела технологического партнерства и клиентского опыта R-Vision.

Совместимость R-Vision SIEM 1.9.2 и 1.10.2 с Dallas Lock 8.0 (10.5.0.803) и TWE Dallas Lock 2.0.211.1

R-Vision и Центр защиты информации группы компаний «Конфидент» 6 февраля 2025 года объявили о начале технологического партнерства. В рамках соглашения подтверждена совместимость системы управления событиями ИБ R-Vision SIEM с системой защиты информации накладного типа Dallas Lock 8.0 и Единым кросс-платформенным центром управления Dallas Lock.

Совместимость систем R-Vision SIEM и Dallas Lock расширяет возможности централизованного мониторинга и нормализации событий безопасности. Интеграция позволяет собирать и анализировать данные о доступе и действиях пользователей, улучшая обнаружение угроз и ускоряя выявление инцидентов для дальнейшего реагирования. Это повышает эффективность управления безопасностью и снижает последствия возможных атак.

Проведенные испытания подтвердили совместимость системы централизованного управления событиями R-Vision SIEM (версии 1.9.2 и 1.10.2) с системой защиты от несанкционированного доступа Dallas Lock 8.0 (версия 10.5.0.803) и TWE Dallas Lock (версия 2.0.211.1) по нормализации регистрируемых событий.

Технологическое партнерство между R-Vision и ГК «Конфидент» открывает возможности для обеих компаний. Совмещение наших ресурсов и экспертизы позволит предложить заказчикам решения для кибербезопасности. Взаимодействие R-Vision SIEM и Dallas Lock не только укрепляет уровень безопасности, но и расширяет сценарии защиты, улучшая доступность и удобство использования для конечных пользователей, — отметил Владимир Оралов, руководитель отдела технологического партнерства и клиентского опыта R-Vision. — Мы уверены, что дальнейшая интеграция наших продуктов и расширение партнерства позволят создать еще более мощные решения, которые будут отвечать самым высоким требованиям киберзащиты.

Мы рады сообщить о заключении стратегического соглашения с компанией R-Vision, которое направлено на развитие нашего технологического партнерства и объединение ресурсов. Сотрудничество позволит нам значительно повысить эффективность работы отделов информационной безопасности у текущих и потенциальных клиентов. Мы уверены, что внедрение процессов обогащения данных систем централизованного управления событиями даст возможность нашим клиентам лучше защищать свои данные и системы от современных угроз. Партнерство с R-Vision станет важным шагом на пути к созданию более безопасного цифрового пространства для всех наших клиентов и партнеров. В результате мы сможем не только укрепить свои позиции на рынке, но и предложить нашим клиентам решения, которые помогут им успешно справляться с вызовами, связанными с киберугрозами, — прокомментировал Михаил Дмитриев, директор по бизнес и технологическому партнерству, маркетингу ЦЗИ ГК «Конфидент».

2024

Сертификационные испытания ФСТЭК России по 4-му уровню доверия

R-Vision 14 января 2025 года объявил, что система мониторинга событий ИБ R-Vision SIEM прошла все необходимые сертификационные испытания в системе сертификации Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Сертификат соответствия ФСТЭК России №4888, выданный 10 декабря 2024 года, подтверждает, что R-Vision SIEM соответствует 4-му уровню доверия согласно условиям и требованиям, описанным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020).

Сертификат ФСТЭК России позволяет использовать R-Vision SIEM:

• на значимых объектах критической информационной инфраструктуры Российской Федерации до 1-й категории значимости включительно;
• в государственных информационных системах (ГИС) 1-го класса защищенности;
• в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищенности;
• в информационных системах персональных данных (ИСПДн);
• в информационных системах общего пользования II класса.

Сертификация R-Vision SIEM ФСТЭК России подтверждает высокий уровень доверия к продуктам R-Vision со стороны регулятора и открывает возможности для компаний, которые хотят повысить защищенность информационных систем за счет применения передовых технологий защиты, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — R-Vision SIEM нативно интегрирован с технологией Kubernetes и поставляется в сертифицированной версии, полностью готовой к развертыванию в среде оркестрации. Это особенно важно для компаний, которые попадают под требования регулятора. Кроме того, каждая инсталляция автоматически получает все преимущества Kubernetes, что значительно повышает надёжность и отказоустойчивость системы. На данный момент мы успешно реализовали ряд проектов для заказчиков из промышленной, финансовой и других отраслей экономики. И благодаря сертификации планируем в дальнейшем расширить сотрудничество с новыми организациями.

R-Vision SIEM 2.0 с конструктором правил корреляции

Компания R-Vision 19 декабря 2024 года выпустила мажорное обновление для продукта R-Vision SIEM 2.0. Вендор расширил функции детектирования и внедрил конструктор правил корреляции.

Разработчик добавил в R-Vision SIEM 2.0 конструктор правил корреляции. С его помощью создаются и изменяются правила корреляции в интерактивном режиме без использования редактора кода. Наглядный интерфейс и поэтапная визуализация процесса облегчают аналитикам создание необходимых правил.

Изменения затронули и элементы конвейера обработки событий. Эксперты R-Vision добавили основные метрики: «число ошибок», «принятые и отправленные события» в интерфейс конвейера. Теперь показатели для каждого элемента доступны сразу, без дополнительного перехода в детали. Данная функция помогает быстрее выявлять потенциальные ошибки и минимизировать потери поступающих событий.

В обновленной версии продукта вендор также добавил точку входа типа WMI, при помощи которой собираются журналы Windows с конечных станций, серверов и WEC (Windows Event Collector). Функция позволяет в одной точке входа настроить сбор сразу с нескольких журналов системы, что облегчает работу инженера по настройке источника.

Также в R-Vision SIEM 2.0 добавили раздел «Диспетчер запросов», который предназначен для сбора и хранения информации о пользовательских запросах в хранилище событий в разделах «Поиск», «RQL-песочница» и «Дашборды». В данном разделе аналитики могут работать с историей выполнения запросов и управлять ресурсами. Например, просматривать запросы, выполненные в дашбордах и оповещениях, и следить за тем, какие запросы нагружают хранилище. Кроме того, внесен функционал управления ресурсами, при помощи которого задаются ограничения на потребление памяти при выполнении RQL-запросов для разных ролей пользователей. Новые функции позволяют администраторам повысить отказоустойчивость системы.

Накопленный опыт работы с заказчиками позволяет нам четко определять вектор развития продуктов. Анализируя потребности клиентов в ходе проектов, мы трансформируем R-Vision SIEM, чтобы он соответствовал высоким требованиям рынка. В результате мы создаем решения, которые удовлетворяют текущие потребности и предвосхищают будущие запросы заказчиков, обеспечивая им стабильную основу для повышения уровня кибербезопасности, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Это обновление — важный этап в развитии R-Vision SIEM. Мы переориентируем стратегию с накопления функционала на улучшение качества пользовательского опыта. Наша команда сосредоточится на совершенствовании инструментов аналитики и визуализации данных, а также на уменьшении Time-to-Value, чтобы пользователи могли быстрее получить максимальную пользу от продукта.

Помимо переформатирования добавили возможность поиска по активным спискам в этом разделе и в RQL-песочнице. Также в разделе «Поиск» добавлена подсветка полей в событиях, удовлетворяющих фильтру RQL-запроса.

Появился режим — «Статистика», который позволяет анализировать данные по всем полям в списке найденных записей и событий. Разработчик детально проработал рейтинг значений — режим позволяет управлять сортировкой и сразу же подсказывает статистику по полям. Также режим «Статистика» позволяет работать со статистикой по нескольким атрибутам одновременно, что повышает скорость погружения аналитика.

Теперь в продукт появились виджеты по оповещениям и добавлены метрики по системе. Кроме того, в R-Vision SIEM разработчик встроил трехмерные гистограммы и возможность строить виджеты по данным из активных списков.

Авторский надзор: эксплуатация R-Vision SIEM в реальных условиях

Внедрение SIEM (Security Information and Event Management) — ключевой шаг для снижения рисков безопасности, соблюдения нормативных требований и подготовки отчетности. По данным R-Vision, за последний год количество киберугроз увеличилось в полтора раза.

Один из главных источников этих угроз — риск взлома со стороны подрядчиков, задействованных в цепочке поставок. Чтобы наши заказчики не столкнулись с риском кибератаки через поставщика, R-Vision должна соответствовать требованиям безопасности, оперативно выявлять и предотвращать подобные инциденты. Это позволит нам гарантировать безопасность и, как следствие, обеспечить целостность бизнеса наших клиентов. Поэтому мы приняли решение усилить уровень безопасности с помощью мониторинга событий ИБ. Для реализации этой задачи мы использовали наш инструмент R-Vision SIEM. Подробнее здесь.

Добавление правил корреляции для эффективного детектирования угроз

R-Vision продолжает развивать решения в области кибербезопасности и расширять экспертизу в продукте R-Vision SIEM для заказчиков. Для этого разработчик сформировал две команды исследователей для отслеживания мировых тенденций кибербезопасности и добавил правила корреляции для эффективного детектирования угроз. Об этом компания сообщила 3 декабря 2024 года.

Исследователи R-Vision SIEM регулярно занимаются поиском новых угроз кибербезопасности, анализируя атаки хакеров и выявляя их методы и приёмы. Чтобы сосредоточиться на глубоком изучении угроз, вендор сформировал две команды: «Анализ и выявление угроз» и «Исследовательская лаборатория», которые следят за мировыми тенденциями в области кибербезопасности. Эти специализированные группы аналитиков сосредоточены на всестороннем изучении угроз, что позволяет расширить экспертизу R-Vision SIEM.

На Q4 2024 года R-Vision SIEM поддерживает более 200 источников для сбора событий. Вендор взаимодействует с технологическими партнёрами и участниками российского ИТ- и ИБ-рынка, чтобы расширять возможности по работе с данными в R-Vision SIEM.

Разработка правил корреляции — приоритет в совершенствовании SIEM-системы. На декабрь 2024 года R-Vision SIEM включает более 500 правил корреляции, которые охватывают свыше 70% актуальных векторов атак и разработаны с опорой на лучшие мировые практики, включая техники и тактики, которые покрываются SIEM.

Основной функционал SIEM заключается в мониторинге событий информационной безопасности и своевременном выявлении угроз. Подготовленные нами правила экспертизы покрывают распространённые векторы атак, часто эксплуатируемые уязвимости, а также отражают переход на отечественные и Open source решения. Благодаря этому наши заказчики могут оперативно приступить к обнаружению угроз и уменьшить возможные риски, сказала Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision.

На основе актуальных знаний аналитики R-Vision каждые две недели обновляют и расширяют базу правил для более эффективного детектирования современных угроз. Внесенные улучшения включают:

• Пакет FreeIPA (ALD Pro) с 21 правилом для обнаружения различных тактик MITRE ATT&CK.
• Правила для детектирования использования туннелирования и эксплуатации уязвимостей в расширениях VSCode.
• Обнаружение уязвимостей, активно эксплуатируемых атакующими, таких как CVE-2023-38831 (WinRAR), CVE-2023-22515, CVE-2023-22527 и CVE-2023-22518 (Confluence), CVE-2024-0507 (GitHub), а также уязвимости в xz.
• Правила для выявления [[[frths|хакерских]] утилит, таких как ngrok и gsocket, а также инструментов для атаки RDPStrike.
• Обнаружение использования Telegram как канала управления (C2).
• Правила для выявления DNS-туннелирования, которое может быть использовано для организации управления (C2) и эксфильтрации данных с устройств жертвы.

Помимо этого, в систему были добавлены базовые правила для мониторинга различных бизнес-приложений, таких как Confluence, Jira и GitLab, а также для мониторинга систем виртуализации (vCenter), баз данных (например, PostgreSQL и ClickHouse) и для сетевых устройств (Eltex, Cisco) и СЗИ (SolarWebProxy, «Континент»).

Наш фокус при разработке правил по-прежнему остается на качестве контента и его актуальности для наших заказчиков. Мы понимаем, насколько важно для наших клиентов иметь доступ к точным и своевременно обновляемым средствам для защиты от угроз, и продолжаем работать в этом направлении, сказала Диана Кожушок, руководитель подразделения анализа и выявления угроз кибербезопасности R-Vision.

R-Vision продолжает активно развивать и совершенствовать свою SIEM-систему, обеспечивая высокий уровень защиты и оперативности в выявлении инцидентов, что позволяет организациям эффективно бороться с современными киберугрозами и минимизировать риски.

R-Vision SIEM 1.8 с расширенным функционалом

Компания R-Vision 26 сентября 2024 года представила обновленную версию флагманского продукта R-Vision SIEM 1.8 с расширенным функционалом. В данной версии разработчик добавил аудит источников событий ИБ для быстрого выявления и устранения проблем, мониторинг работоспособности Kubernetes для минимизации рисков сбоев и ускорение аутентификации пользователей благодаря внедрению LDAP-протокола.

Мы активно углубляем нашу экспертизу и развиваем функционал R-Vision SIEM в соответствии с потребностями рынка. На сентябрь 2024 года пакет экспертизы уже поддерживает более 100 источников событий и содержит более 350 правил корреляции. Эти инструменты позволяют нам эффективно выявлять основные направления атак и обеспечивать охват большей части инфраструктуры без дополнительных настроек. Наша цель — предложить заказчикам продукт, который помогает пользователям эффективно и безопасно решать повседневные задачи, — подчеркнул Виктор Никуличев, продакт-менеджер R-Vision.

В данной версии R-Vision SIEM 1.8 теперь можно отслеживать состояние источников, из которых в коллекторы поступают события. Состояние источников оценивается по частоте и количеству событий, что позволяет выявлять отклонения в их работе.

Для этого в системе предусмотрены настраиваемые политики аудита источников. Они отслеживают изменения в потоке событий и отправляют уведомления при достижении заданных пороговых значений через настроенные интеграции.

Своевременность и полнота поступающих событий — это критически важные аспекты работы SOC. Именно поэтому мы добавили метрики по контролю источников, которые помогают оперативно выявлять и устранять возможные проблемы, такие как пропажа событий от одного из источников.

Чтобы обеспечить бесперебойную работу SIEM-системы, необходимо тщательно следить за состоянием всех его компонентов. В R-Vision SIEM 1.8 мы применяем современные подходы и технологии, среди которых Kubernetes. В систему был добавлен специальный раздел «Мониторинг», который позволяет нам наблюдать за состоянием кластера Kubernetes.

В этом разделе можно найти детальную информацию о контейнерах, узлах, модулях системы и других компонентах кластера. Наличие визуальных инструментов мониторинга позволяет аналитику тщательно контролировать состояние кластера и утилизации ресурсов, а также собирать все необходимые метрики централизованно, используя любые удобные внешние средства.

Начиная с версии 1.8 в системе появилась возможность использовать авторизацию в доменах Active Directory, ALD Pro, FreeIPA и OpenLDAP через LDAP-протокол (Lightweight Directory Access Protocol) — эффективный инструмент для централизованного управления как отдельными доменными пользователями, так и доменными группами. С его помощью можно:

Синхронизировать данные о пользователях, включая их логины, ФИО, должности, статусы, электронные адреса и номера телефонов.

Внедрение LDAP-соединений значительно сокращает время, необходимое для аутентификации пользователей, а также открывает возможности для настройки ролевой модели в системе.

Разработчик улучшил базовый функционал системы R-Vision SIEM 1.8, добавив две новые функции:

• Экспорт и импорт дашбордов.
  

Теперь пользователи могут загружать и выгружать дашборды в формате JSON. Это позволяет им легко импортировать готовые шаблоны дашбордов и использовать их в качестве контента, что значительно упрощает работу аналитиков.

• Шаблоны сообщений для SMTP-интеграции.
  

При настройке оповещений через SMTP-интеграцию пользователи могут использовать поля оповещений или корреляционных событий, сгенерировавших оповещения, в шаблонах сообщений. Это дает возможность создавать собственные шаблоны для разных задач и назначений интеграций.

Эти улучшения делают работу с системой более продуктивной, позволяя аналитикам сосредоточиться на анализе данных, а не на рутине.

R-Vision SIEM 1.6 с режимом распределенной работы коррелятора

Компания R-Vision 27 июня 2024 года сообщила о выходе R-Vision SIEM версии 1.6. Обновление включает в себя улучшения в работе с правилами корреляции, а также расширение возможностей масштабирования, дополнительного контроля и управления пользователями.

R-Vision SIEM 1.6 дополнился режимом распределенной работы коррелятора, который доступен при настройке коллектора. Теперь можно использовать ресурсы нескольких узлов в кластере для параллельной обработки событий. Благодаря этому для обработки большего числа событий можно горизонтально масштабировать ресурсы корреляции доступными физическими машинами, экономя на стоимости больших конфигураций.

Команда экспертов R-Vision SIEM также уделила особое внимание работе с крупными инфраструктурами. Для таких заказчиков важна гибкая ролевая модель. Поэтому в данной версии разработчики реализовали функционал мультитенантности в системе, благодаря которому можно централизованно управлять одним решением для защиты нескольких филиалов организации.

Также разработчик предусмотрел гибкую систему ограничений за счет групп разрешений и ролей. В том числе возможность распределить роли доступа и создать группы пользователей с абсолютно уникальными разрешениями. Парольная политика, в свою очередь, устанавливает требования к надежности и использованию паролей для учетных записей, что повышает защищенность самой системы.

Кроме того, разработчик сделал функционал сниппетов для управления шаблонами функций, которые используются при разработке правил корреляции и нормализации. Например, если один и тот же фрагмент кода планируется использовать в нескольких программах, его можно сохранить в виде сниппета, а затем с помощью этого сниппета добавить его в нужные места программ.

В R-Vision мы разрабатываем технологии, опираясь на обратную связь клиентов. Мы постоянно улучшаем наши продукты, добавляем новые функции и делаем их использование более удобным, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Внесенные улучшения отвечают на основной запрос заказчиков по масштабированию и контролю системы. А функционал распределенной корреляции открывает новые возможности для наших клиентов.

Включение в Репозиторий АФТ

Компания R-Vision 19 марта 2024 года объявила о включении решения R-Vision SIEM в Репозиторий «Ассоциации ФинТех»(репозиторий АФТ). В данном репозитории содержатся проверенные ИБ-продукты, которые рекомендуется использовать в рамках импортозамещения в финансовой отрасли. R-Vision SIEM внесен в реестр АФТ 15 марта 2024 года. Реестровый номер — АФТ0247.

Включение R-Vision SIEM в репозиторий «Ассоциации ФинТех» — шаг, который позволит значительно расширить возможности сотрудничества R-Vision с организациями из финансовой отрасли, — отметил Камиль Баймашкин, заместитель исполнительного директора R-Vision. — Это особенно актуально в рамках программы импортозамещения зарубежного программного обеспечения. Поэтому внесение системы управления потоками событий информационной безопасности R-Vision SIEM в перечень ИТ-решений для финансового сектора подтверждает, что продукт поможет финансовым организациям найти достойную замену ушедшим с рынка зарубежным вендорам без потери в функциональности и производительности, и обеспечить решение даже для самых сложных задач в информационной безопасности.

В банковской сфере, где безопасность является ключевым фактором, SIEM-системы (Security Information and Event Management) играют важнейшую роль. Они позволяют оперативно обнаруживать угрозы и реагировать на них, что особенно актуально в условиях частых кибератак. С помощью SIEM-систем банки могут отслеживать и анализировать большие объемы данных, что позволяет им своевременно выявлять подозрительные операции, оценивать риски и принимать меры по предотвращению возможных инцидентов. Это, в свою очередь, помогает сохранить доверие клиентов и поддерживать репутацию надежного финансового учреждения.

Кроме того, SIEM-системы обеспечивают централизованный мониторинг и контроль над всеми информационными системами банка, что значительно упрощает процесс управления безопасностью. Они также позволяют автоматизировать процесс реагирования на инциденты, что снижает вероятность ошибок и повышает эффективность работы специалистов.

Организации финансового сектора уделяют большое внимание технологическому развитию и стремятся максимально цифровизировать свои процессы и услуги. Это требует от них обеспечения высокого уровня информационной безопасности для предотвращения утечки критически важных данных. Репозиторий «Ассоциации ФинТех» помогает организациям выбрать надежных поставщиков ИБ-решений, которые доказали свою состоятельность на рынке и являются независимыми от иностранных технологий, — подчеркнул Виктор Никуличев, продукт-менеджер R-Vision SIEM.

R-Vision SIEM 1.3

16 января 2024 года компания R-Vision, разработчик систем кибербезопасности, сообщила о расширении функциональных возможностей технологии R-Vision SIEM. Версия 1.3 включает в себя ряд обновлений: разработчик оптимизировал набор функций для сбора и обработки событий, внедрил инструменты для работы с контентом и поиском. А также добавил конструктор отчетов и расширил способы интеграции с внешними системами.

R-Vision SIEM 1.3

Как сообщалось, в данной версии собственной SIEM-системы эксперты компании расширили функциональные возможности конвейера обработки событий, который позволяет аналитику SOC в графическом интерфейсе управлять функционалом сбора обработки данных. Так, к уже доступным точкам входа и выхода, шинам и нормализатору событий команда R-Vision добавила элементы: агрегатор, маршрутизатор и фильтр. Это позволяет пользователям вариативно настраивать работу с событиями, что особенно актуально при наличии большой инфраструктуры источников и систем.

Кроме того, изменения коснулись работы с объектами экспертизы. Каждый такой объект — это контентная часть продукта, которая содержит в себе написанную экспертизу по обработке и анализу событий ИБ. К ней относятся: правила нормализации и корреляции, активные списки, таблицы обогащения, а также модели событий. Команда R-Vision оптимизировала процесс подготовки объектов экспертизы, добавив функции. Теперь ИБ-специалисты, помимо создания и изменения собственных правил, могут копировать и удалять элементы экспертизы, включать, выключать и обновлять используемые правила, использовать шаблоны и версионирование. Также в обновлении специалисты компании оптимизировали функционал валидации и тестирования правил, который помогает сотрудникам SOC проводить дополнительные проверки результативности разработанных ими правил в тестовой системе. Это позволяет избежать ошибок при подготовке контента и предварительно оценить его эффективность. Что, в свою очередь, снижает количество ложных срабатываний при их запуске и обеспечит быстродействие системы.

Также в R-Vision SIEM 1.3 разработчик расширил функции инструмента поиска: добавил подсветку синтаксиса, подсказки к запросам, которые формируют аналитики SOC, быстрые фильтры прямо из событий ИБ, интерактивный прогресс-бар и график распределения событий. А также поддержку всех ключевых функций запросов в базах данных, за счет чего аналитик сможет быстро найти необходимые события в потоке поступающих данных.

Важным изменением в обновлении системы стало добавление в систему конструктора отчетов, который оптимизирует процесс предоставления отчетности. Конструктор помогает аналитику SOC создавать шаблоны отчетов и отправлять их в соответствии с установленным графиком.

Существенные изменения затронули работу с внешними системами. Так, в версии 1.3 для аналитиков SOC был добавлен активный сбор событий из различных баз данных и по протоколу HTTP. Также в обновленной версии эксперты R-Vision расширили интеграционные возможности, которые, в частности, помогают перейти в интерфейсы систем R-Vision SOAR, Endpoint и UEBA. Это позволяет собирать больше событий из различных систем и автоматически передавать инциденты для реагирования в SOAR.

2023: Представление решения R-Vision SIEM

28 сентября 20232 года компания R-Vision представила две технологии – R-Vision SIEM и R-Vision VM, создание которых стало еще одним шагом на пути развития собственной экосистемы для эволюции SOC R-Vision EVO.

R-Vision SIEM обеспечивает централизованное управление потоками событий со всех информационных систем, помогает своевременно выявлять инциденты и сохранять целостность бизнеса. Она позволяет оптимизировать использование ресурсов компании за счет комплексного подхода к обработке событий безопасности на всех этапах работы с данными.

R-Vision VM – технология, которая позволяет выявлять уязвимости информационной безопасности в инфраструктуре организации, агрегировать полученную информацию в единой базе, а также приоритизировать обнаруженные уязвимости и осуществлять контроль за процессом их устранения.

Наше сотрудничество с R-Vision началось несколько лет назад, когда перед НРД встала задача по построению действительно эффективного процесса Vulnerability Management. На фоне событий 2022 года ситуация также осложнилась отсутствием поддержки решений от иностранных поставщиков ИБ, а значит, вопрос работы с уязвимостями встал еще всё более острее. Модернизация процесса управления уязвимостями с помощью экспертизы и технологий R-Vision позволила нам быстро и просто его автоматизировать, обеспечив тем самым своевременное устранение уязвимостей и защиту от их эксплуатации, - прокомментировал Олег Кусеров, директор по информационной безопасности Национального Расчетного Депозитария.