Открыть сервис

R-Vision SIEM

R-Vision SIEM — это программное обеспечение класса SIEM (Security Information and Event Management, управление информацией и событиями безопасности), предназначенное для сбора, нормализации, корреляции и анализа событий информационной безопасности в режиме реального времени. Продукт разработан российской компанией R-Vision (входит в реестр отечественного ПО Минцифры РФ) и применяется для построения систем мониторинга инцидентов, автоматизации реагирования на угрозы и обеспечения соответствия требованиям регуляторов (ФСТЭК России, Банка России, ФСБ России) в области защиты информации.

История и контекст создания

Разработка R-Vision SIEM началась в 2016 году в рамках стратегии импортозамещения в сфере информационной безопасности. Ключевым стимулом стало ужесточение требований российских регуляторов к государственным информационным системам (ГИС), объектам критической информационной инфраструктуры (КИИ) и автоматизированным системам управления производственными процессами (АСУ ТП). Западные SIEM-решения (Splunk, IBM QRadar, ArcSight) к тому моменту доминировали на российском рынке, но после 2014 года их использование в госсекторе стало ограничиваться, а с 2022 года — практически прекратилось из-за санкций и ухода вендоров.

Первый релиз R-Vision SIEM был выпущен в 2017 году. Продукт позиционировался как альтернатива зарубежным системам, адаптированная под российские стандарты и нормативно-правовую базу. В 2019 году R-Vision SIEM получил сертификат ФСТЭК России на соответствие требованиям по 4-му уровню доверия, что позволило использовать его в государственных информационных системах (ГИС) и системах значимых объектов КИИ. В последующие годы продукт неоднократно модернизировался: добавлялись модули машинного обучения, интеграция с Threat Intelligence-платформами и SOAR-функции (Security Orchestration, Automation and Response — оркестрация, автоматизация и реагирование).

Архитектура и компоненты

R-Vision SIEM построен по классической трёхуровневой архитектуре, характерной для SIEM-систем:

Агенты и коллекторы

Сбор данных осуществляется двумя способами:

Поддерживается сбор данных от более чем 300 типов источников, включая операционные системы (Windows, Linux, FreeBSD, Astra Linux, РЕД ОС, Альт), СУБД (PostgreSQL, Oracle, MS SQL, 1С), сетевое оборудование (Cisco, Huawei, Eltex, Qtech), средства защиты информации (межсетевые экраны, DLP-системы, антивирусы — Kaspersky, Dr.Web, Solar, InfoWatch, Positive Technologies).

Ядро обработки

Ядро SIEM выполняет следующие функции:

Хранилище и аналитика

Для долговременного хранения данных используется либо встроенная СУБД на базе PostgreSQL (с поддержкой шардирования и репликации), либо внешние хранилища (Elasticsearch, ClickHouse). Аналитический модуль позволяет:

Модуль реагирования

В состав R-Vision SIEM входит модуль SOAR (Security Orchestration, Automation and Response), который автоматизирует процессы реагирования на инциденты:

Функциональные возможности

Мониторинг событий в реальном времени

Система способна обрабатывать до 50 000 событий в секунду (на одном узле) при типовой конфигурации. Для масштабирования используется кластеризация — добавление дополнительных узлов обработки (workers) и хранилищ. Задержка между поступлением события и его отображением на дашборде не превышает 2–3 секунд.

Корреляция и выявление инцидентов

Корреляционные правила делятся на несколько категорий:

Для снижения числа ложных срабатываний применяется машинное обучение: модель обучается на исторических данных и автоматически корректирует пороги срабатывания правил.

Управление активами

Модуль Asset Management позволяет вести реестр информационных активов (серверы, рабочие станции, сетевое оборудование, приложения) с указанием их критичности, владельца, установленного ПО и уязвимостей. Интеграция с системами управления уязвимостями (например, MaxPatrol, RedCheck) позволяет автоматически обновлять базу уязвимостей и привязывать их к конкретным активам.

Соответствие требованиям регуляторов

R-Vision SIEM включает готовые шаблоны отчётов для:

Система автоматически формирует журналы событий, отчёты об инцидентах и статистику по обработке событий, что упрощает прохождение аудитов и проверок.

Интеграция с экосистемой R-Vision

R-Vision SIEM входит в единую платформу управления информационной безопасностью R-Vision, которая также включает:

Интеграция между модулями осуществляется через единую шину данных (R-Vision Data Bus) и общую базу активов. Это позволяет, например, автоматически создавать инцидент в SIEM на основе обнаруженной уязвимости в Vulnerability Management или передавать данные об атаке в модуль GRC для оценки риска.

Применение в отраслях

R-Vision SIEM используется преимущественно в следующих секторах:

Сравнение с аналогами

На российском рынке SIEM-систем основными конкурентами R-Vision SIEM являются:

R-Vision SIEM выделяется среди аналогов:

Критика и ограничения

К числу недостатков R-Vision SIEM, отмечаемых пользователями и экспертами, относятся:

Перспективы развития

В 2024–2025 годах компания R-Vision анонсировала планы по внедрению технологий искусственного интеллекта для автоматического выявления новых типов атак (аномалий без заранее заданных правил), а также по расширению поддержки IoT-устройств и промышленных контроллеров (SCADA). Ожидается, что продукт будет интегрирован с Национальным центром координации по компьютерным инцидентам (НКЦКИ) для обмена данными об угрозах.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →