Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, сообщает о выпуске новой версии флагманского продукта — SIEM-системы RuSIEM.

Новая версия включает в себя множество изменений, направленных на улучшение производительности, удобства работы и расширение функционала. Среди ключевых нововведений — оптимизация веб-интерфейса, доработки в работе с инцидентами, расширение возможностей агентов и устранение ошибок в корреляторе.

Одной из главных особенностей обновления стал переход на фреймворк Laravel 10 и последнюю версию PHP (8.4), что значительно улучшает стабильность, безопасность и скорость работы веб-интерфейса. Пользователи смогут оценить более отзывчивый интерфейс, уменьшенное время загрузки страниц и общую оптимизацию взаимодействия с системой. Это особенно важно для аналитиков безопасности, которые ежедневно имеют дело с большими объемами данных и необходимостью быстро реагировать на угрозы.

В разделе «Управления правилами корреляции» появилась важная функция — централизованное управление переоткрытием инцидентов. Теперь настройки, связанные с повторным переоткрытием, можно контролировать глобально через управление правилами корреляции. Это упрощает процесс управления инцидентами и снижает вероятность ошибок, связанных с ручной настройкой.

Работа с инцидентами также претерпела несколько заметных улучшений. Теперь при переходе из просмотра событий конкретного инцидента в общий список событий система сохраняет примененные фильтры, что избавляет пользователей от необходимости настраивать их заново.

Кроме того, обновление исправляет проблему, при которой статус опции «Переоткрывать инцидент, если закрыт» мог сбрасываться после обновления правил корреляции.

Для работы со списками в версии RuSIEM 5.0.0 добавлена возможность импорта значений как для динамических, так и для статических таблиц из CSV-файлов. Это особенно полезно для администраторов, которым часто приходится загружать большие наборы данных, например, списки IP-адресов, доменов или хэшей. Теперь процесс можно автоматизировать, избегая ручного ввода.

Агенты системы также не остались без внимания. В новом релизе добавлен модуль для сбора событий из F6ManagedXDR, что расширяет возможности интеграции с другими платформами безопасности. Модуль FileLog теперь корректно обрабатывает многострочные события, что важно для анализа логов сложных систем. Кроме того, для Linux-агента добавлена поддержка модуля RedCheck, что открывает дополнительные возможности для мониторинга и аудита.

Наконец, в корреляторе устранен ряд ошибок, которые могли влиять на точность обработки событий и генерации инцидентов. Эти исправления повышают надежность системы и снижают вероятность ложных срабатываний.

Важно! В рамках повышения качества и стабильности сервиса внедрены две параллельные версии продукта — Стабильная версия, 4.4.6 (Stable) и Актуальная версия, 5.0.0 (Live/Preview).

Стабильная версия, 4.4.6 — это проверенная версия системы, прошедшая полный цикл тестирования. Она рекомендуется для большинства пользователей, которым важна надежность и предсказуемость работы. 

Актуальная версия, 5.0.0 — это версия с последними обновлениями и функциями, доступными сразу после разработки. Она подойдет тем, кто хочет раньше других получать нововведения, но готов к возможным незначительным ошибкам или нестабильной работе отдельных функций.

«Разделение на две версии сделано для того, чтобы наши заказчики имели возможность выбрать, что им нужно на текущий момент — стабильность или новизна. Также такое разделение поможет нам быстрее получать обратную связь по новым функциям и разделить этапы обновления и снизить риски сбоев», — прокомментировал Валерий Купрюшин, технический директор компании RuSIEM.

По вопросам, связанным с решениями RuSIEM: rusiem@mont.ru.