В данном тестировании количество пользователей не играло ключевой роли — нам было важно продемонстрировать способность SIEM стабильно обрабатывать высокий входной поток событий. Тем не менее мы эмулировали работу аналитиков на стенде, регулярно выполняя поисковые запросы в системе. Кроме того, посетители конференции подходили к стенду и также выполняли различные поисковые запросы по событиям, чтобы оценить отзывчивость интерфейса и скорость выдачи результатов.
К слову, массовая работа операторов — это отдельный и очень интересный сценарий тестирования, о котором не стоит забывать при оценке SIEM-систем. Мы проверяли наш SIEM в этой части в рамках киберучений CyberCamp 2025, где более 1000 пользователей могли одновременно работать с системой. Там мы воспроизводили расследование реальной атаки в корпоративной среде: https://habr.com/ru/companies/rvision/articles/978296/
Коллеги, спасибо, что включили R-Vision ITAM в обзор! Хотим добавить несколько уточнений:
R-Vision ITAM изначально создавался как классическая ITAM-система и подходит для компаний любого масштаба и из разных отраслей.
Наш опыт в разработке ИБ-решений действительно позволил реализовать нативную интеграцию с продуктами в области информационной безопасности. При этом сам R-Vision ITAM не имеет ИБ-специфики: ни в логике продукта, ни в интерфейсах, ни в модели лицензирования. Стоимость решения не зависит от количества ИБ-модулей.
Продукт активно развивается и постоянно расширяется новым функционалом :) Отдельно отметим, что в R-Vision ITAM реализована Low-Code-архитектура, которая является одной из ключевых основ нашего технологического стека.
Кластер качества — это команда специалистов, ответственная за проверку и улучшение качества выпускаемых продуктов. Возглавляет группу опытный менеджер, контролирующий соблюдение стандартов разработки и тестирование функционала. Основная цель кластера — повышение надёжности ПО и удовлетворение потребностей пользователей.
Да, для качественного результата большУю роль также играет общий объем выборки, репрезентативность и консистентность набора данных. Что касается балансировки, на практике для нее нет четких правил, по которым можно понять допустимый дисбаланс в количестве объектов классов, при котором данные станут «идеальными».
В рассмотренном нами случае выбранный способ балансировки (выборка с недостатком) не дал значительного прироста качества, т. к. исключенные тексты содержали неявный контекст не только для балансируемого класса. Сказалась специфика задачи и данных. Существуют и другие способы балансировки, целью которых является расширить «маленькие» по объему классы. С ними мы планируем в будущем поэкспериментировать.
Как вы думаете в вашем случае можно использовать генерацию чистых данных для ликвидации дисбаланса при обучении?
Можно попробовать генерировать на основании имеющихся данных синтетические тексты с помощью генеративных LLM и использовать такой подход для расширения небольших по объему классов.
Но к такому набору будет также применена проверка человеком, как и при валидации реальных отчетов. Мы не можем на 100% исключить возможные галлюцинации и шум в синтетических данных.
Большое количество участников требует подключать к проведению мероприятия много экспертов со стороны компании-организатора. Мы были единственным партнером хакатона и, к сожалению, физически не могли подключить столько экспертов, поэтому пришлось тщательно выбирать участников.
Спасибо за интерес к статье!
В данном тестировании количество пользователей не играло ключевой роли — нам было важно продемонстрировать способность SIEM стабильно обрабатывать высокий входной поток событий. Тем не менее мы эмулировали работу аналитиков на стенде, регулярно выполняя поисковые запросы в системе. Кроме того, посетители конференции подходили к стенду и также выполняли различные поисковые запросы по событиям, чтобы оценить отзывчивость интерфейса и скорость выдачи результатов.
К слову, массовая работа операторов — это отдельный и очень интересный сценарий тестирования, о котором не стоит забывать при оценке SIEM-систем. Мы проверяли наш SIEM в этой части в рамках киберучений CyberCamp 2025, где более 1000 пользователей могли одновременно работать с системой. Там мы воспроизводили расследование реальной атаки в корпоративной среде: https://habr.com/ru/companies/rvision/articles/978296/
Коллеги, спасибо, что включили R-Vision ITAM в обзор! Хотим добавить несколько уточнений:
R-Vision ITAM изначально создавался как классическая ITAM-система и подходит для компаний любого масштаба и из разных отраслей.
Наш опыт в разработке ИБ-решений действительно позволил реализовать нативную интеграцию с продуктами в области информационной безопасности. При этом сам R-Vision ITAM не имеет ИБ-специфики: ни в логике продукта, ни в интерфейсах, ни в модели лицензирования. Стоимость решения не зависит от количества ИБ-модулей.
Продукт активно развивается и постоянно расширяется новым функционалом :) Отдельно отметим, что в R-Vision ITAM реализована Low-Code-архитектура, которая является одной из ключевых основ нашего технологического стека.
Добрый день!
Кластер качества — это команда специалистов, ответственная за проверку и улучшение качества выпускаемых продуктов. Возглавляет группу опытный менеджер, контролирующий соблюдение стандартов разработки и тестирование функционала. Основная цель кластера — повышение надёжности ПО и удовлетворение потребностей пользователей.
Добрый день!
Да, для качественного результата большУю роль также играет общий объем выборки, репрезентативность и консистентность набора данных. Что касается балансировки, на практике для нее нет четких правил, по которым можно понять допустимый дисбаланс в количестве объектов классов, при котором данные станут «идеальными».
В рассмотренном нами случае выбранный способ балансировки (выборка с недостатком) не дал значительного прироста качества, т. к. исключенные тексты содержали неявный контекст не только для балансируемого класса. Сказалась специфика задачи и данных. Существуют и другие способы балансировки, целью которых является расширить «маленькие» по объему классы. С ними мы планируем в будущем поэкспериментировать.
Можно попробовать генерировать на основании имеющихся данных синтетические тексты с помощью генеративных LLM и использовать такой подход для расширения небольших по объему классов.
Но к такому набору будет также применена проверка человеком, как и при валидации реальных отчетов. Мы не можем на 100% исключить возможные галлюцинации и шум в синтетических данных.
Очень рады, что статья оказалась вам полезной!)
Опубликовали)
https://habr.com/ru/company/rvision/blog/694630/
Да, в ближайшее время опубликуюем продолжение)
Добрый день! Да, все верно, это наш недочет)
Добрый день, Евгений! Да, для этой атаки обязательно наличие ключа KRBTGT у злоумышленника.
Очень рад, что моя статья оказалась полезной!
Виктор, спасибо! Да, все так, как ты сказал. MITRE сделали очень много важных и интересных вещей, добавлю в статью ссылку на их историю))
Большое количество участников требует подключать к проведению мероприятия много экспертов со стороны компании-организатора. Мы были единственным партнером хакатона и, к сожалению, физически не могли подключить столько экспертов, поэтому пришлось тщательно выбирать участников.