R-Vision SIEM
R-Vision SIEM — это программное обеспечение класса SIEM (Security Information and Event Management, управление информацией и событиями безопасности), предназначенное для сбора, нормализации, корреляции и анализа событий информационной безопасности в режиме реального времени. Продукт разработан российской компанией R-Vision (входит в реестр отечественного ПО Минцифры РФ) и применяется для построения систем мониторинга инцидентов, автоматизации реагирования на угрозы и обеспечения соответствия требованиям регуляторов (ФСТЭК России, Банка России, ФСБ России) в области защиты информации.
История и контекст создания
Разработка R-Vision SIEM началась в 2016 году в рамках стратегии импортозамещения в сфере информационной безопасности. Ключевым стимулом стало ужесточение требований российских регуляторов к государственным информационным системам (ГИС), объектам критической информационной инфраструктуры (КИИ) и автоматизированным системам управления производственными процессами (АСУ ТП). Западные SIEM-решения (Splunk, IBM QRadar, ArcSight) к тому моменту доминировали на российском рынке, но после 2014 года их использование в госсекторе стало ограничиваться, а с 2022 года — практически прекратилось из-за санкций и ухода вендоров.
Первый релиз R-Vision SIEM был выпущен в 2017 году. Продукт позиционировался как альтернатива зарубежным системам, адаптированная под российские стандарты и нормативно-правовую базу. В 2019 году R-Vision SIEM получил сертификат ФСТЭК России на соответствие требованиям по 4-му уровню доверия, что позволило использовать его в государственных информационных системах (ГИС) и системах значимых объектов КИИ. В последующие годы продукт неоднократно модернизировался: добавлялись модули машинного обучения, интеграция с Threat Intelligence-платформами и SOAR-функции (Security Orchestration, Automation and Response — оркестрация, автоматизация и реагирование).
Архитектура и компоненты
R-Vision SIEM построен по классической трёхуровневой архитектуре, характерной для SIEM-систем:
Агенты и коллекторы
Сбор данных осуществляется двумя способами:
- Агентский — на целевые хосты (серверы, рабочие станции, сетевые устройства) устанавливаются программные агенты (сенсоры), которые собирают логи, метрики и файловые события.
- Безагентский — через syslog, SNMP, NetFlow, API, а также путём прямого чтения файлов журналов (Windows Event Log, Linux syslog, WMI).
Поддерживается сбор данных от более чем 300 типов источников, включая операционные системы (Windows, Linux, FreeBSD, Astra Linux, РЕД ОС, Альт), СУБД (PostgreSQL, Oracle, MS SQL, 1С), сетевое оборудование (Cisco, Huawei, Eltex, Qtech), средства защиты информации (межсетевые экраны, DLP-системы, антивирусы — Kaspersky, Dr.Web, Solar, InfoWatch, Positive Technologies).
Ядро обработки
Ядро SIEM выполняет следующие функции:
- Нормализация — приведение событий из разных форматов к единому стандарту (Common Event Format, CEF).
- Обогащение — добавление контекста (геолокация, данные об уязвимостях, информация об активах из CMDB).
- Корреляция — выявление взаимосвязей между событиями по правилам (корреляционные правила, написанные на собственном языке R-Vision Query Language — RQL). Правила могут быть как встроенными (библиотека включает более 500 готовых правил), так и создаваемыми пользователем.
- Агрегация — сжатие потока событий для снижения нагрузки на хранилище и ускорения анализа.
Хранилище и аналитика
Для долговременного хранения данных используется либо встроенная СУБД на базе PostgreSQL (с поддержкой шардирования и репликации), либо внешние хранилища (Elasticsearch, ClickHouse). Аналитический модуль позволяет:
- строить отчёты по заданным шаблонам (регуляторные отчёты, отчёты по инцидентам);
- выполнять ad-hoc-запросы через веб-интерфейс (поиск по событиям, фильтрация по времени, типу события, IP-адресу);
- визуализировать данные в виде дашбордов и графиков (Kibana, Grafana — опционально).
Модуль реагирования
В состав R-Vision SIEM входит модуль SOAR (Security Orchestration, Automation and Response), который автоматизирует процессы реагирования на инциденты:
- создание тикетов в Service Desk (встроенная система или интеграция с Jira, OTRS, Naumen);
- выполнение плейбуков (сценариев реагирования) — например, блокировка IP-адреса на межсетевом экране, отключение учётной записи, запуск антивирусного сканирования;
- уведомление ответственных лиц через email, Telegram, SMS.
Функциональные возможности
Мониторинг событий в реальном времени
Система способна обрабатывать до 50 000 событий в секунду (на одном узле) при типовой конфигурации. Для масштабирования используется кластеризация — добавление дополнительных узлов обработки (workers) и хранилищ. Задержка между поступлением события и его отображением на дашборде не превышает 2–3 секунд.
Корреляция и выявление инцидентов
Корреляционные правила делятся на несколько категорий:
- Правила на основе сигнатур — поиск известных атак (например, попытка подбора пароля, SQL-инъекция).
- Правила на основе поведения — выявление аномалий (например, нехарактерное время входа пользователя, необычный объём передаваемых данных).
- Правила на основе последовательностей — обнаружение многоэтапных атак (kill chain).
Для снижения числа ложных срабатываний применяется машинное обучение: модель обучается на исторических данных и автоматически корректирует пороги срабатывания правил.
Управление активами
Модуль Asset Management позволяет вести реестр информационных активов (серверы, рабочие станции, сетевое оборудование, приложения) с указанием их критичности, владельца, установленного ПО и уязвимостей. Интеграция с системами управления уязвимостями (например, MaxPatrol, RedCheck) позволяет автоматически обновлять базу уязвимостей и привязывать их к конкретным активам.
Соответствие требованиям регуляторов
R-Vision SIEM включает готовые шаблоны отчётов для:
- ФСТЭК России (приказ № 17, № 21, № 31);
- Банка России (стандарт СТО БР ИББС, положение № 683-П);
- ФСБ России (требования к криптографической защите);
- 152-ФЗ «О персональных данных»;
- ГОСТ Р 57580.1-2017 (защита информации в банковской сфере).
Система автоматически формирует журналы событий, отчёты об инцидентах и статистику по обработке событий, что упрощает прохождение аудитов и проверок.
Интеграция с экосистемой R-Vision
R-Vision SIEM входит в единую платформу управления информационной безопасностью R-Vision, которая также включает:
- R-Vision GRC — модуль управления рисками и соответствием требованиям;
- R-Vision Vulnerability Management — система управления уязвимостями;
- R-Vision Incident Response — платформа для расследования инцидентов;
- R-Vision Threat Intelligence — модуль сбора и анализа данных об угрозах.
Интеграция между модулями осуществляется через единую шину данных (R-Vision Data Bus) и общую базу активов. Это позволяет, например, автоматически создавать инцидент в SIEM на основе обнаруженной уязвимости в Vulnerability Management или передавать данные об атаке в модуль GRC для оценки риска.
Применение в отраслях
R-Vision SIEM используется преимущественно в следующих секторах:
- Государственный сектор — мониторинг ГИС, защита персональных данных, обеспечение работы порталов госуслуг.
- Финансовый сектор — банки, страховые компании, МФО (микрофинансовые организации) — для выполнения требований ЦБ РФ и защиты транзакций.
- Промышленность и энергетика — объекты КИИ (АЭС, ГЭС, нефтегазовые предприятия), АСУ ТП.
- Телекоммуникации — операторы связи, дата-центры, облачные провайдеры.
- Здравоохранение — медицинские информационные системы, ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения).
Сравнение с аналогами
На российском рынке SIEM-систем основными конкурентами R-Vision SIEM являются:
- MaxPatrol SIEM (Positive Technologies) — наиболее зрелый продукт, занимающий лидирующие позиции по доле рынка; отличается более развитой аналитикой и поддержкой сложных корреляционных сценариев.
- Kaspersky Unified Monitoring and Analysis Platform (KUMA) — продукт «Лаборатории Касперского», ориентированный на средний и крупный бизнес; имеет встроенную интеграцию с другими продуктами Kaspersky.
- Solar JSOC SIEM (Ростелеком) — облачная SIEM-платформа, предоставляемая по модели Managed Security Service (MSSP).
- Security Capsule SIEM (InfoWatch) — продукт, ориентированный на защиту от утечек данных (DLP) и внутренних угроз.
R-Vision SIEM выделяется среди аналогов:
- глубокой интеграцией с собственной экосистемой (GRC, VM, IR);
- гибкостью настройки правил корреляции (язык RQL);
- поддержкой российских операционных систем (Astra Linux, РЕД ОС, Альт) и СУБД (PostgreSQL, ClickHouse);
- наличием встроенного SOAR-модуля.
Критика и ограничения
К числу недостатков R-Vision SIEM, отмечаемых пользователями и экспертами, относятся:
- Ограниченная производительность на больших объёмах данных — при нагрузке свыше 100 000 событий в секунду требуется кластеризация из нескольких узлов, что увеличивает стоимость владения.
- Сложность настройки корреляционных правил — язык RQL требует обучения персонала; готовые правила не всегда покрывают специфические сценарии атак.
- Недостаточная документация — по сравнению с западными аналогами, документация на русском языке менее подробна, особенно в части интеграции с нестандартными источниками.
- Отсутствие встроенной поддержки облачных сред — для мониторинга облачных инфраструктур (AWS, Azure, Яндекс.Облако) требуются дополнительные настройки и агенты.
Перспективы развития
В 2024–2025 годах компания R-Vision анонсировала планы по внедрению технологий искусственного интеллекта для автоматического выявления новых типов атак (аномалий без заранее заданных правил), а также по расширению поддержки IoT-устройств и промышленных контроллеров (SCADA). Ожидается, что продукт будет интегрирован с Национальным центром координации по компьютерным инцидентам (НКЦКИ) для обмена данными об угрозах.
Источники
- Официальная документация R-Vision SIEM (версия 4.0, 2024 г.)
- Реестр отечественного ПО Минцифры России — карточка продукта R-Vision SIEM
- Отчёт ФСТЭК России «О состоянии информационной безопасности в РФ» (2023 г.)
- Материалы конференций Positive Hack Days, SOC-Forum (2022–2024 гг.)
- Статья «Обзор российских SIEM-систем» (журнал «Information Security», № 4, 2023 г.)
- Презентация R-Vision «Платформа управления ИБ» (2024 г.)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →