Перейти к содержимому

СёрчИнформ SIEM

    • обработка потока событий
    • выявление угроз
    • расследование ИБ-инцидентов

    Для чего нужна SIEM

    1. Сбор событий из различных
    источников

    SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

    2. Нормализация и обогащение
    событий

    Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

    3. Корреляция и применение
    правил

    Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

    4. Оповещения и инцидент-менеджмент

    Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

    Закажите бесплатный 30-дневный триал

    Кому подойдет?

    Компании из сектора малого и среднего бизнеса

    Мониторинг работоспособности
    сетевой инфраструктуры и
    соблюдения пользовательских
    политик с учетом
    масштабирования финансовых
    нагрузок.

    Крупные предприятия с1000+ компьютеров и устройств

    Анализ терабайтов ежедневных
    событий и фокус на инцидентах,
    которые требуют
    незамедлительной реакции и
    вмешательства.

    Географически распределенные предприятия

    Организация эффективной
    работы и сохранения
    работоспособности
    распределенной сетевой
    инфраструктуры и ее контроль
    из единого центра.

    Банки и компании финансового сектора

    Мониторинг распределенной
    сетевой инфраструктуры со
    значительным числом
    пользователей и устройств,
    логирование событий и
    выявление инцидентов.

    Мобильные операторы и телеком-компании

    Мониторинг работоспособности
    собственной структуры.
    Соблюдение внутренних политик
    и стандартизация логов тысяч
    разнообразных источников.

    Предприятия, уже использующие DLP, IDS,IDM

    Интеграция дает ощутимый рост
    функционала уже существующих
    продуктов и SIEM, позволяя
    максимизировать эффект
    каждого элемента.

    Архитектура и алгоритм работы

    Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

    AzureConnector – вычитка логов серверов Microsoft Azure SQL.

    ESEventConnector – вычитка логов сервера Microsoft SQL.

    SQLAuditConnector – вычитка логов сервера Microsoft SQL.

    KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.

    ExchangeConnector – вычитка логов почтового сервера
    Exchange.

    RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.

    SyslogConnector – сбор событий Syslog.

    1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.

    OracleConnector – вычитка таблиц БД и логов Oracle Listener.

    PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».

    1CConnector – вычитка журналов 1C.

    DominoConnector – вычитка логов IBM Domino.

    DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.

    DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.

    IISConnector – сбор событий службы Microsoft IIS.

    NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.

    SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP

    VipNetConnector – сбор событий из VipNet.

    VMwareConnector – сбор событий VMware ESXi.

    CiscoConnector – сбор событий сетевых устройств Cisco.

    SIDLPConnector – сбор событий приложений
    «СёрчИнформ КИБ».

    FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.

    LinuxConnector – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.

    MongoDBConnector – вычитка логов СУБД Mongo DB.

    RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.

    SymantecConnector – подключение к базе данных
    Symantec EPM и чтение ее записей.

    PaloAltoConnector – сбор событий межсетевого экрана
    Palo Alto.

    CheckPointConnector – сбор событий межсетевого экрана
    Check Point.

    McafeeConnector – осуществляет подключение к базе данных
    McAfee и чтение ее записей.

    ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.

    ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.

    GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.

    UserGateConnector – получает события от межсетевых экранов UserGate.

    Интерфейс и отчёты

    Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс.


    Экран отображения инцидентов


    Карта инцидентов


    Журнал инцидентов по выбранному правилу


    Экран настройки отображения отчетов

    Техническое описание

    Минимальные системные
    требования к серверу
    SIEM*

    • Процессор: 4-ядерный, частотой 2,1 ГГц
    • Оперативная память: 4 ГБ i
    • Винчестер: 200 ГБ i
    • Сетевая карта: 100 Мбит/с

    Базы данных

    • SIEM: MongoDB
    • DataCenter: MS SQL Express, PostgreSQL

    Язык интерфейса

    • RU
    • EN

    Лицензирование

    По узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив


    Коннекторы 

    • WinEvent Connector
    • MS SQL Connector
    • Exchange Connector
    • CISCO Connector
    • Oracle Connector
    • 1C Connector
    • Syslog Connector
    • Kaspersky Anti-Virus Connector
    • VMware connector
    • Fortigate Connector
    • McAfee Connector
    • SI DLP Connector
    • Linux Connector
    • RedCheck Connector и другие

    Правила корреляции

    • Более 300
    • Возможность добавления
      новых с помощью
      встроенного редактора

    Интерактивные отчеты

    Отдельные интерактивные отчеты и настраиваемые дашборды


    Экспорт готовых отчетов

    • Отправка на печать
    • .xml
    • .xlsx
    • .pdf
    • .html
    • .txt
    • Экспорт в автоматическом режиме по расписанию в формате .xml

    Внедрение «СёрчИнформ SIEM»

    Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.

    ПО регулярно обновляется в рамках технической поддержки – функционал инструмента постоянно расширяется.

    После окончания внедрения оказываем обязательную техническую поддержку.

    Самый сложный момент внедрения SIEM – подключение источников событий.

    Преимущества «СёрчИнформ SIEM»

    Легкое внедрение

    Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

    Простота использования

    В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

    Подходит среднему и малому бизнесу

    Невысокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.

    Учитывает опыт тысяч клиентов

    Решения «СёрчИнформ» используют более 4 000 клиентов в 20 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».

    Симбиоз SIEM и DLP

    Тандем систем «СёрчИнформ КИБ» и «СёрчИнформ
    SIEM» многократно повышает уровень ИБ компании.
    SIEM выявляет аномальное поведение и способ
    получения доступа к информации. «СёрчИнформ КИБ» оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на
    порядок эффективнее.

    Сопровождение клиента

    Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

    Российский продукт

    «СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

    Лицензирование

    Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив.

    Закажите бесплатный 30-дневный триал