Об R-Vision SIEM

Сбор, обработка и хранение событий, полученных от поддерживаемых источников.

Управление потоками событий и процессами обработки событий.

Долгосрочное хранение событий в хронологически упорядоченной базе данных.

Глубокий аналитический разбор событий.

Расширенный поиск и фильтрация событий с помощью языка запросов.

Функция корреляции для обнаружения потенциально опасных событий, включающая агрегацию событий на основе общих атрибутов, а также интеграцию данных из многих источников.

Функция нормализации для обработки и приведения поступающих событий к стандартизированному виду хранения.

Функция агрегации событий для сбора и объединения поступающих событий в рамках заданной пользователем логики агрегации.

Функция сегментации событий для формирования оповещений на основе данных корреляционного анализа.

Обогащение событий дополнительными атрибутами для расширения их содержания большим контекстом и последующего анализа.

Фильтрация поступающих событий с помощью условий.

Маршрутизация поступающих событий для гибкого перенаправления потока событий с помощью наборов фильтров.

Перенаправление событий во внешние системы и управление параметрами отправки.

Автоматизированная генерация оповещений на основе корреляционных событий.

Вывод оповещений на аналитическую панель и ретрансляция через внешние коммуникационные каналы.

Отправка оповещений во внешние системы через настроенные в системе интеграции.

Управление элементами экспертизы: активным списками, таблицами обогащения, а также правилами нормализации, корреляции, агрегации и сегментации.

Создание и изменение элементов экспертизы.

Валидация элементов экспертизы.

Отслеживание и обновление версий элементов экспертизы.

Регистрация баз данных.

Создание хранилищ событий и гибкое управление параметрами хранения.

Создание пользовательских моделей событий.

Выполнение различных аналитических запросов к событиям в хранилищах.

Написание и тестирование работоспособности объектов системы.

Мониторинг и анализ системных событий и источников.

Формирование виджетов и аналитических дашбордов для отслеживания показателей по событиям, а также метрик работы компонентов системы.

Визуализация данных с применением различных типов графиков и диаграмм.

Построение отчетов на основе аналитических данных системы.

Публикация и отправка отчетов по расписанию через настроенные в системе интеграции.

Функционирование системы на базе технологии Kubernetes с поддержкой Linux-контейнеров версии не ниже 1.24.

Сбор событий от различных типов источников: R-Vision Endpoint, HTTP Server, Socket (TCP/UDP), Syslog, Kafka, Logstash и др.

Нормализация событий в форматах Syslog, JSON, NDJSON, CSV, XML и др.

Поддержка конечных точек Kafka, Socket, Vector.

Возможность разбора событий и создания произвольных правил трансформации с применением языка VRL.

Создание пользовательских элементов экспертизы в рамках единой схемы описания объектов RObject, с использованием языка VRL.

Поддержка языка RQL на базе языка запросов ClickHouse.

База данных хранения событий на базе технологии кластер СУБД ClickHouse.

Операционная база данных на базе технологии СУБД PostgreSQL.

Возможность создания пользовательской модели события, в том числе на основе предустановленной универсальной модели хранения событий.

Хранение данных в горячем или холодном хранилище.

Управление оповещениями и просмотр информации об обнаруженной потенциальной вредоносной активности.

Поиск и фильтрация по событиям, хранящимся в базах данных.

Предустановленные виджеты и дашборды для визуального анализа данных.

Отчеты для анализа и представления данных, собранных системой.

Предустановленные элементы экспертизы: активные списки, таблицы обогащения, а также правила корреляции, нормализации, агрегации и сегментации.

Интеграция с системами R-Vision SOAR и R-Vision Endpoint.

Поддержка сетевого протокола SMTP.

Поддерживаемые среды функционирования: