⭐️ Отчёт о VB-Trend 2024
12 апреля 2024 года в Москве прошел VB-Trend, на котором было многое: от обсуждения Smart Monitor 4.0, обновлений модулей, успешных сценариев применения нашей платформы до продуктивного общения про бизнес, мониторинг, безопасность и дегустацию виски! В этой статье хотим закрепить пройденный материал и рассказать о подробностях мероприятия для тех, кто не смог присутствовать. Ниже будут презентации и видео-записи, так что не будем долго задерживаться. Приступаем!
Содержание
VB-Trend возвращается. Новости компании
Ракета
12 апреля, в День Космонавтики, в 12:00 мы запустили новую ракету 🚀 под названием Smart Monitor 4.0. Наша цель сегодня рассказать и показать вам её возможности. Дать понимание того, в какую стратосферу и выше можно поднять результаты обработки машинных данных. Выслушаем рекомендации наших астронавтов, про то на что в обращать внимание, чтобы полет прошел гладко и пообщаемся с инженерами-конструкторами, давшими жизнь этому удивительному и в определенном плане уникальному техническому изобретению. Под вечер можно будет пообщаться в формате экспертного клуба, продегустировать виски, который вы вряд ли пробовали и вообще расслабиться, т.к. вам сегодня не за штурвал ракеты, или как там он у космонавтов называется 🙂
Ребрендинг
Но несмотря на вот такой вот Юрьев день, сегодняшний наш VB-Trend в зеленом цвете. И нет, мы не продали компанию Сбербанку. Более того, мы задумали редизайн логотипа чтобы исключить схожесть с символикой нашего финансового гиганта. Вот как было. А с учетом того, что у Сбера тоже Smart много чего, то редизайн просился. У нас если кто помнит была галочка в кружке. Что все ОК с данными в хранилище, они работают.
Встречайте новый логотип Smart Monitor. Символ бесконечности, как неограниченное количество разных информационных источников и хранилищ данных, которые доступны благодаря технологии Search Anywhere. Зеленая цветовая гамма, как Eco режим работы нашей платформы, которая позволяет оптимизировать TCO за счет гибридного хранилища и извлекать пользу из анализа машинных данных. Теперь осталось самое сложное. Пояснить что такое SM.
Платформа
Продолжая зеленую тему, мы решили развить аналогию. Символ дерева с нами уже несколько лет. Мы используем дерево метрик и индикаторов, показывающих здоровье систем. Называем это ресурсно-сервисной моделью.
Сейчас через дерево визуализирована сама платформа. Корневая система которой питается данными. Основой является модуль Core, а ствол составляют базовые модули. Мы продолжаем развивать набор дополнительных модулей, куда теперь вошли и партнерские интеграции. Назвали это SM Store.
Применяемый в платформе модульный подход делает из Smart Monitor конструктор с различными сценариями применения, которые. Это плоды, практические кейсы, реализуемые в наших проектах.
Мы постепенно наполняем базу сценариев применения SM и пришло время представить новый сайт.
Опыт миграции SIEM-системы
В одном из докладов руководитель службы поиска и анализа угроз ИБ холдинговой компании Т1 Изотова Ирина рассказала о том, как они переезжали на Smart Monitor.
Выбор правильного решения, подходящего под вашу компанию, зависит от того, насколько четко на старте были сформулированы задачи, которые это решение должно решать. Ирина поделилась задачами, стоящими перед их компанией до начала переезда.
В ходе доклада были рассмотрены классические этапы внедрения. Особое внимание Ирина уделила этапу «Промышленная эксплуатация», которые является одним из главных при внедрении любого решения. Испытания нужно проводить максимально детально, так как от этого зависит дальнейшее функционирование системы.
Также Ирина поделилась текущими результатами внедрения Smart Monitor, которые вы можете увидеть на слайде ниже.
Построение коммерческого SOC на SM по модели MSSP
Артём рассказал об опыте компании для более глубокого погружения в тему доклада.
Также он поделился выводами компании о хранении данных.
Рассмотрели кейс компании Перспективный Мониторинг.
Делаем NAC на Smart Monitor
Перед компанией Каустик стояла следующая задача: автоматическое сегментирование компьютерной сети с одновременным контролем доступа устройств посредством MAC-адресов в эту сеть. На слайде ниже демонстрируется, как автоматически находится новый коммутатор и создается его карточка.
Данил продемонстрировал, как выглядит карточка устройства.
А также, как происходит оповещение в мессенджер о блокировке или разблокировке устройства.
Sentinel runaway: Как мы мигрировали SIEM за 2 месяца
Тимур рассказал, как они мигрировали с Sentinel на Smart Monitor за 2 месяца. На слайде ниже продемонстрирована инфраструктура компании Авито.
В процессе доклада мы узнали, какие задачи стояли перед компанией, по каким критериям они выбирали SIEM и почему остановила свой выбор именно на Smart Monitor.
Также Тимур поделился итогами внедрения Smart Monitor и планами компании по его развитию.
Кейс не про SIEM: Pipe TwinTech
Использование автоматизированных систем для анализа диагностической информации нефтегазовых компаний позволяет существенно повысить оперативность и качество принимаемых решений по выводу участков трубопровода в ремонт.
Коррозионный износ подземных металлических сооружений — это неизбежный процесс, который может привести к риску нарушения надежности конструкции подземного металлического сооружения и снижения его ресурса. По разным оценкам, ведущие страны мира тратят порядка 4% валового внутреннего продукта на борьбу с коррозионными разрушениями.
В настоящее время ремонт трубопроводов с минимальными капитальными вложениями является одной из наиболее приоритетных задач нефтегазовых компаний. Для ее решения требуются современные инструменты, методики и необходим углубленный анализ данных внутритрубной дефектоскопии и результатов шурфовок, что позволит планировать вывод участков в ремонт оптимально. Для этой цели был разработан модуль Pipe TwinTech. На видео ниже наглядно демонстрируем работу модуля.
Decision Intelligence: Корпоративный ИИ. Круглый стол
Михаил Таланин, Kapital Bank
Николай Арефьев, RST Cloud
Дмитрий Сурков, Закупки.AI
С ChatGPT и аналогичными LLM-сервисами всё хорошо, кроме того, что в него не хочется грузить корпоративные данные. Как поставить ИИ на службу своей компании, не делясь информацией с «Большим братом»?
О подходах к решению задачи корпоративного ИИ, применении его для поддержки принятия решений, ограничениях и допущениях, модели доверия и других аспектах порассуждали в формате круглого стола.
Время для корпоративного KAIFа: новый режим Knowledge AI Framework
LLM значительно упростили жизнь каждого: генерация текста, ответы на вопросы, анализ настроения и многое другое, о чем говорится в докладе и представлено на слайде ниже. Многие крупные компании уже используют LLM в своей деятельности. Например, Notion AI, GitHub Copilot, Dropbox Dash, Netflix, Dualingo.
Smart Monitor не отстает от трендов! Мы задумались: а что, если сделать так, чтобы с помощью ИИ пользователи могли выполнять поисковые запросы и быстро пользоваться документацией? Не долго думая, наша команда реализовала данную задумку в рамках эксперимента. Но результат оказался настолько крутым, что эксперимент переродился в отдельный модуль с названием KAIF, или Knowledge AI Framework.
В видео-докладе вы сможете узнать подробнее о принципе работы модуля и о его архитектуре. Но результат можно увидеть уже сейчас в видео ниже. Как вам такой KAIF?
Smart Monitor 4.0: гибридное хранилище, или все в SAT (Search Anywhere Technology)
В докладе более подробно рассмотрели аналитический движок Smart Monitor Engine, в котором содержится технология Search Anywhere. Это значит, что у нас есть возможность осуществлять поиск сразу в нескольких хранилищах без необходимости переиндексации.
В Smart Monitor 4.0 мы добавили все возможные команды, которые у нас уже транслировались в OpenSearch. Они теперь поддерживаются в ClickHouse.
В видео ниже продемонстрирован процесс использования новых команд.
Сравнение скорости нескольких запросов OpenSearch VS ClickHouse. На слайде ниже делимся результатами.
Обзор обновлений модулей: UBA, Cybersecurity, Incident Manager, Inventory, MITRE ATT@CK
В данном докладе поделились обновлениями функциональных модулей в Smart Monitor 4.0.
В Incident Manager появился функционал агрегации. Основная задача агрегаций – объединение инцидентов в группы по конфигурируемым правилам, для последующей совместной обработки.
Начиная от банальных правил, когда объединяются сработки в рамках одного поискового задания, по одному какому-то полю, например, пользователь. Так и группировка по комбинациям различных полей результатов разных поисковых заданий.
Также в Incident Manager появился Ad-hoc Action. Это дополнительный инструмент, который позволяет выполнить какое-то активное действие оператору менеджеру инцидентов, непосредственно в момент расследования на уровне инцидента или агрегации.
Модуль UBA предоставляет механизмы для выявления отклонений в поведении разных типов объектов: пользователей, хостов, администраторов, информационных систем, бизнес-процессов и пр.
Универсальный механизм вычисления скоринга позволяет выявлять потенциальных злоумышленников,
скомпроментированные учетные записи, вычислять Индекс Кибербезопасности, анализировать операционную эффективность и трудовую дисциплину, бороться с фродом.
На слайде ниже демонстрируем логическую схему выявления отклонений.
Модуль Cyber Security тоже затронули изменения. Были обновлены дашборды и механизмы управления контентов.
Модуль MITRE ATT&CK — реализация сценариев использования одноименной базы техник и тактик, используемых злоумышленниками:
- приоритезация угроз,
- оценка покрытия инструментальными контролями и правилами,
- дополнительные правила детектирования инцидентов.
Также в докладе поделились расширенной интеграцией с сервисом CTT Threat Feed.
CTT Threat Feed собирает актуальную информацию об угрозах из всех доступных открытых источников Threat Intelligence, нормализует, фильтрует и обогащает.
Модуль мониторинга и управления Apache Kafka
Алексей рассказал о первом партнерском функциональном модуле, который разработала его компания: мониторинг и управление кластером Kafka. На слайдах ниже можно увидеть функциональное наполнение и визуализацию этого модуля.
Под капотом: мониторинг конвейера CI/CD
Рассказали, почему важно использовать и мониторить такие средства, как Gitlab CI и Docker.
Все, что мы делаем в конвейере и Gitlab, мы можем собрать в Smart Monitor, проиндексировать и, к примеру, зафиксировать критичные уязвимости. На слайде можно увидеть пример запроса.
И последнее, о чем хотим рассказать сегодня (но ни в коем случае не последнее по значимости!). У нас появилась новая документация 🔥
Мы глобально подошли к ее обновлению. Теперь это более углубленная база знаний, которая содержит более 150 статей для версий Smart Monitor 3.2 и 4.0. Статьи упорядочены в 5 глобальных разделов.
Ознакомиться с документацией можно по ссылке.
Всем спасибо за участие в VB-Trend 2024! Ждем всех снова в следующем году.
Несколько полезных ссылок с материалами мероприятия: