Релиз включает порядка 40 обновлений и новых функций. Среди основных изменений — доработка модуля архивации, использование которой теперь позволяет выгружать и хранить события информационной безопасности на внешнем сетевом носителе на долгосрочной основе. Это дает возможность выполнять требования законодательства в части времени хранения событий с гораздо меньшими затратами аппаратных ресурсов, а также качественнее проводить расследования инцидентов. Реализация сложных атак обычно происходит в несколько этапов и длится несколько месяцев, то есть при расследовании инцидентов необходимо в основном обращаться к данным, которые поступали в систему несколько месяцев или даже лет назад.
«Так как ущерб от сложных атак бывает для компании довольно существенным, необходимо иметь возможность оперативно обнаружить и закрыть „пробой“ для предотвращения его повторного использования. Функция архивации позволит переносить события на сетевое хранилище и при необходимости обратиться к ним, чтобы проанализировать и найти уязвимость», — пояснил технический директор RuSIEM Антон Фишман.
Вторая часть обновлений системы связана с модулем оператора RuSIEM RuAgent. Модуль теперь собирает информацию о низкоуровневых событиях, происходящих на уровне ядра операционной системы, что необходимо для выявления новых видов угроз. Такой функционал используется в системах класса EDR (Endpoint Detection & Response). Именно этот функционал позволяет выявлять современные сложные и целевые атаки, направленные на хищение средств и данных.
«Использование EDR позволяет собирать и отправлять в SIEM-систему низкоуровневые события, анализ которых дает возможность выявлять и расследовать самые сложные и современные атаки. Современное ВПО многосоставное и поступает по разным каналам (мессенджеры, почта, Интернет и другие), при этом злоумышленники часто используют актуальные уязвимости, еще не исправленные, либо не закрытые патчами, и специально проверяют, чтобы оно не обнаруживалось современными антивирусами. Выявить такие угрозы можно только с помощью сбора и анализа событий, происходящих на уровне ядра операционной системы — на самом низком уровне», — отметил Антон Фишман.