Об R-Vision SIEM

Сбор, обработка и хранение событий, полученных от поддерживаемых источников, в том числе R-Vision Endpoint, Kafka, Logstash, Netflow, NATS JetStream.

Управление потоками событий и процессами обработки событий.

Поддержка конечных точек HTTP, Kafka, Socket, Vector, NATS JetStream.

Долгосрочное хранение событий в хронологически упорядоченной базе данных.

Глубокий аналитический разбор событий.

Расширенный поиск и фильтрация событий.

Возможность создания пользовательской модели события, в том числе на основе предустановленной универсальной модели хранения событий.

Функция корреляции для обнаружения потенциально опасных событий, включающая агрегацию событий на основе общих атрибутов, а также интеграцию данных из многих источников.

Функция нормализации для обработки и приведения поступающих событий к стандартизованному виду хранения. Поддерживается нормализация событий в распространенных форматах, в том числе CEF, Syslog, JSON, CSV, XML.

Функция агрегации событий для сбора и объединения поступающих событий в рамках заданной пользователем логики агрегации.

Функция сегментации событий для формирования оповещений на основе данных корреляционного анализа.

Обогащение событий дополнительными атрибутами для расширения их содержания за счет контекстной информации.

Фильтрация поступающих событий с помощью условий.

Возможность разбора событий и создания произвольных правил трансформации с применением языка VRL.

Маршрутизация поступающих событий для гибкого перенаправления потока событий с помощью наборов фильтров.

Перенаправление событий во внешние системы и управление параметрами отправки.

Управление оповещениями и просмотр информации об обнаруженной потенциальной вредоносной активности.

Автоматизированная генерация оповещений на основе корреляционных событий.

Вывод оповещений на аналитическую панель и ретрансляция через внешние коммуникационные каналы.

Отправка оповещений во внешние системы через настроенные в системе интеграции.

Управление элементами экспертизы:

Создание и изменение элементов экспертизы в рамках единой схемы описания объектов RObject.

Валидация элементов экспертизы.

Отслеживание и обновление версий элементов экспертизы.

Регистрация баз данных.

Создание хранилищ событий и гибкое управление параметрами хранения.

Создание пользовательских моделей событий.

Выполнение различных аналитических запросов к событиям в хранилищах.

Написание и тестирование работоспособности объектов системы.

Мониторинг и анализ системных событий и источников.

Формирование виджетов и аналитических дашбордов для отслеживания показателей по событиям, а также метрик работы компонентов системы.

Визуализация данных с применением различных типов графиков и диаграмм.

Построение отчетов на основе аналитических данных системы.

Публикация и отправка отчетов по расписанию через настроенные в системе интеграции.

Функционирование системы на базе технологии Kubernetes с поддержкой Linux-контейнеров версии не ниже 1.24.

Поддерживаемые среды функционирования:

Поддерживаемые версии браузеров:

Операционная база данных на базе СУБД PostgreSQL.

База данных хранения событий на базе распределенной СУБД ClickHouse.

Хранение данных в горячем или холодном хранилище.

Интеграция с системами R-Vision SOAR и R-Vision Endpoint.

Поддержка сетевого протокола SMTP.