R‑Vision SIEM
R-Vision SIEM — это российская система класса SIEM, разработанная компанией R-Vision. Она обеспечивает централизованное управление событиями информационной безопасности со всех корпоративных систем, их корреляцию и анализ. С её помощью бизнес может укрепить защиту данных организации за счёт своевременного обнаружения инцидентов информационной безопасности.
Решение состоит из двух ключевых блоков: системы обработки и управления событиями и сервиса обнаружения.
В системе обработки и управления событиями информационной безопасности осуществляется сбор данных через коллектор, их последующие парсинг и нормализация, а затем отправка событий в базу данных. В системе для хранения используется база данных ClickHouse, а в качестве операционной базы данных выступает PostgreeSQL. Затем с событиями можно работать: искать по ним данные, формировать отчёты и строить дашборды.
Сервис обнаружения представляет собой комплекс инструментов. Коррелятор, входящий в комплекс, на основании правил позволяет обнаруживать инциденты информационной безопасности.
Решение работает на микросервисной архитектуре, для установки потребуется мастернода для управления кластером и воркер для полноценной работы с контейнерами Kubernetes и хранения событий.
Сценарии использования решения включают в себя отправку данных об инцидентах в различные внешние сервисы (встроена интеграция с R-vision SOAR, при необходимости можно отправлять данные по почтовому каналу), а также работу с событиями без включения оповещений (в качестве менеджера блокировок или шины данных).
В систему встроены: дашборды, конвейеры, модели событий, активные списки, таблицы обогащения, редакторы для работы с кодом и конструкторы low-code. Наряду с простым синтаксисом все эти инструменты позволяют быстро организовывать обновления и разрабатывать контент. Все инструменты записаны через единый синтаксис с подсветкой и отладкой.
Система R-Vision SIEM позволяет:
- встроить обработку событий через визуальный конвейер,
- организовать хранение в базах данных и настроить его напрямую из интерфейса;
- применить эффективные инструменты экспертизы (поддержка работы с правилами нормализации, корреляции, агрегации, а также сегментации);
- легко настроить новые компоненты;
- масштабироваться.
Получить консультацию
Отправьте описание задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей.