Хорошее замечание. Согласны, это один из ключевых вопросов. Без этого фундамента любая, даже самая совершенная методология, не даст желаемого результата. На практике именно доступность и глубина сбора событий определяют, с чего начинается эффективный Threat Hunting. Именно такие прикладные нюансы, вынесенные из реальных внедрений, и стали одной из основных тем технического трека.
В данном тестировании количество пользователей не играло ключевой роли — нам было важно продемонстрировать способность SIEM стабильно обрабатывать высокий входной поток событий. Тем не менее мы эмулировали работу аналитиков на стенде, регулярно выполняя поисковые запросы в системе. Кроме того, посетители конференции подходили к стенду и также выполняли различные поисковые запросы по событиям, чтобы оценить отзывчивость интерфейса и скорость выдачи результатов.
К слову, массовая работа операторов — это отдельный и очень интересный сценарий тестирования, о котором не стоит забывать при оценке SIEM-систем. Мы проверяли наш SIEM в этой части в рамках киберучений CyberCamp 2025, где более 1000 пользователей могли одновременно работать с системой. Там мы воспроизводили расследование реальной атаки в корпоративной среде: https://habr.com/ru/companies/rvision/articles/978296/
Коллеги, спасибо, что включили R-Vision ITAM в обзор! Хотим добавить несколько уточнений:
R-Vision ITAM изначально создавался как классическая ITAM-система и подходит для компаний любого масштаба и из разных отраслей.
Наш опыт в разработке ИБ-решений действительно позволил реализовать нативную интеграцию с продуктами в области информационной безопасности. При этом сам R-Vision ITAM не имеет ИБ-специфики: ни в логике продукта, ни в интерфейсах, ни в модели лицензирования. Стоимость решения не зависит от количества ИБ-модулей.
Продукт активно развивается и постоянно расширяется новым функционалом :) Отдельно отметим, что в R-Vision ITAM реализована Low-Code-архитектура, которая является одной из ключевых основ нашего технологического стека.
Кластер качества — это команда специалистов, ответственная за проверку и улучшение качества выпускаемых продуктов. Возглавляет группу опытный менеджер, контролирующий соблюдение стандартов разработки и тестирование функционала. Основная цель кластера — повышение надёжности ПО и удовлетворение потребностей пользователей.
Да, для качественного результата большУю роль также играет общий объем выборки, репрезентативность и консистентность набора данных. Что касается балансировки, на практике для нее нет четких правил, по которым можно понять допустимый дисбаланс в количестве объектов классов, при котором данные станут «идеальными».
В рассмотренном нами случае выбранный способ балансировки (выборка с недостатком) не дал значительного прироста качества, т. к. исключенные тексты содержали неявный контекст не только для балансируемого класса. Сказалась специфика задачи и данных. Существуют и другие способы балансировки, целью которых является расширить «маленькие» по объему классы. С ними мы планируем в будущем поэкспериментировать.
Как вы думаете в вашем случае можно использовать генерацию чистых данных для ликвидации дисбаланса при обучении?
Можно попробовать генерировать на основании имеющихся данных синтетические тексты с помощью генеративных LLM и использовать такой подход для расширения небольших по объему классов.
Но к такому набору будет также применена проверка человеком, как и при валидации реальных отчетов. Мы не можем на 100% исключить возможные галлюцинации и шум в синтетических данных.
Большое количество участников требует подключать к проведению мероприятия много экспертов со стороны компании-организатора. Мы были единственным партнером хакатона и, к сожалению, физически не могли подключить столько экспертов, поэтому пришлось тщательно выбирать участников.
Хорошее замечание. Согласны, это один из ключевых вопросов. Без этого фундамента любая, даже самая совершенная методология, не даст желаемого результата. На практике именно доступность и глубина сбора событий определяют, с чего начинается эффективный Threat Hunting. Именно такие прикладные нюансы, вынесенные из реальных внедрений, и стали одной из основных тем технического трека.
Спасибо за интерес к статье!
В данном тестировании количество пользователей не играло ключевой роли — нам было важно продемонстрировать способность SIEM стабильно обрабатывать высокий входной поток событий. Тем не менее мы эмулировали работу аналитиков на стенде, регулярно выполняя поисковые запросы в системе. Кроме того, посетители конференции подходили к стенду и также выполняли различные поисковые запросы по событиям, чтобы оценить отзывчивость интерфейса и скорость выдачи результатов.
К слову, массовая работа операторов — это отдельный и очень интересный сценарий тестирования, о котором не стоит забывать при оценке SIEM-систем. Мы проверяли наш SIEM в этой части в рамках киберучений CyberCamp 2025, где более 1000 пользователей могли одновременно работать с системой. Там мы воспроизводили расследование реальной атаки в корпоративной среде: https://habr.com/ru/companies/rvision/articles/978296/
Коллеги, спасибо, что включили R-Vision ITAM в обзор! Хотим добавить несколько уточнений:
R-Vision ITAM изначально создавался как классическая ITAM-система и подходит для компаний любого масштаба и из разных отраслей.
Наш опыт в разработке ИБ-решений действительно позволил реализовать нативную интеграцию с продуктами в области информационной безопасности. При этом сам R-Vision ITAM не имеет ИБ-специфики: ни в логике продукта, ни в интерфейсах, ни в модели лицензирования. Стоимость решения не зависит от количества ИБ-модулей.
Продукт активно развивается и постоянно расширяется новым функционалом :) Отдельно отметим, что в R-Vision ITAM реализована Low-Code-архитектура, которая является одной из ключевых основ нашего технологического стека.
Добрый день!
Кластер качества — это команда специалистов, ответственная за проверку и улучшение качества выпускаемых продуктов. Возглавляет группу опытный менеджер, контролирующий соблюдение стандартов разработки и тестирование функционала. Основная цель кластера — повышение надёжности ПО и удовлетворение потребностей пользователей.
Добрый день!
Да, для качественного результата большУю роль также играет общий объем выборки, репрезентативность и консистентность набора данных. Что касается балансировки, на практике для нее нет четких правил, по которым можно понять допустимый дисбаланс в количестве объектов классов, при котором данные станут «идеальными».
В рассмотренном нами случае выбранный способ балансировки (выборка с недостатком) не дал значительного прироста качества, т. к. исключенные тексты содержали неявный контекст не только для балансируемого класса. Сказалась специфика задачи и данных. Существуют и другие способы балансировки, целью которых является расширить «маленькие» по объему классы. С ними мы планируем в будущем поэкспериментировать.
Можно попробовать генерировать на основании имеющихся данных синтетические тексты с помощью генеративных LLM и использовать такой подход для расширения небольших по объему классов.
Но к такому набору будет также применена проверка человеком, как и при валидации реальных отчетов. Мы не можем на 100% исключить возможные галлюцинации и шум в синтетических данных.
Очень рады, что статья оказалась вам полезной!)
Опубликовали)
https://habr.com/ru/company/rvision/blog/694630/
Да, в ближайшее время опубликуюем продолжение)
Добрый день! Да, все верно, это наш недочет)
Добрый день, Евгений! Да, для этой атаки обязательно наличие ключа KRBTGT у злоумышленника.
Очень рад, что моя статья оказалась полезной!
Виктор, спасибо! Да, все так, как ты сказал. MITRE сделали очень много важных и интересных вещей, добавлю в статью ссылку на их историю))
Большое количество участников требует подключать к проведению мероприятия много экспертов со стороны компании-организатора. Мы были единственным партнером хакатона и, к сожалению, физически не могли подключить столько экспертов, поэтому пришлось тщательно выбирать участников.