- обработка потока событий
- выявление угроз
- расследование ИБ-инцидентов
Для чего нужна SIEM
1. Сбор событий из различных
источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
2. Нормализация и обогащение
событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
3. Корреляция и применение
правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
4. Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
Закажите бесплатный 30-дневный триал
Полнофункциональное ПО без ограничений по
пользователям и функциональности
Кому подойдет?
Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности
сетевой инфраструктуры и
соблюдения пользовательских
политик с учетом
масштабирования финансовых
нагрузок.
Крупные предприятия с1000+ компьютеров и устройств
Анализ терабайтов ежедневных
событий и фокус на инцидентах,
которые требуют
незамедлительной реакции и
вмешательства.
Географически распределенные предприятия
Организация эффективной
работы и сохранения
работоспособности
распределенной сетевой
инфраструктуры и ее контроль
из единого центра.
Банки и компании финансового сектора
Мониторинг распределенной
сетевой инфраструктуры со
значительным числом
пользователей и устройств,
логирование событий и
выявление инцидентов.
Мобильные операторы и телеком-компании
Мониторинг работоспособности
собственной структуры.
Соблюдение внутренних политик
и стандартизация логов тысяч
разнообразных источников.
Предприятия, уже использующие DLP, IDS,IDM
Интеграция дает ощутимый рост
функционала уже существующих
продуктов и SIEM, позволяя
максимизировать эффект
каждого элемента.
Архитектура и алгоритм работы
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
AzureConnector – вычитка логов серверов Microsoft Azure SQL.
ESEventConnector – вычитка логов сервера Microsoft SQL.
SQLAuditConnector – вычитка логов сервера Microsoft SQL.
KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.
ExchangeConnector – вычитка логов почтового сервера
Exchange.
RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.
SyslogConnector – сбор событий Syslog.
1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.
OracleConnector – вычитка таблиц БД и логов Oracle Listener.
PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
1CConnector – вычитка журналов 1C.
DominoConnector – вычитка логов IBM Domino.
DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.
IISConnector – сбор событий службы Microsoft IIS.
NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.
SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP
VipNetConnector – сбор событий из VipNet.
VMwareConnector – сбор событий VMware ESXi.
CiscoConnector – сбор событий сетевых устройств Cisco.
SIDLPConnector – сбор событий приложений
«СёрчИнформ КИБ».
FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
LinuxConnector – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.
MongoDBConnector – вычитка логов СУБД Mongo DB.
RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.
SymantecConnector – подключение к базе данных
Symantec EPM и чтение ее записей.
PaloAltoConnector – сбор событий межсетевого экрана
Palo Alto.
CheckPointConnector – сбор событий межсетевого экрана
Check Point.
McafeeConnector – осуществляет подключение к базе данных
McAfee и чтение ее записей.
ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.
ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.
GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.
UserGateConnector – получает события от межсетевых экранов UserGate.
Интерфейс и отчёты
Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс.
Экран отображения инцидентов
Карта инцидентов
Журнал инцидентов по выбранному правилу
Экран настройки отображения отчетов
Техническое описание
Минимальные системные
требования к серверу
SIEM*
Базы данных
- SIEM: MongoDB
- DataCenter: MS SQL Express, PostgreSQL
Язык интерфейса
- RU
- EN
Лицензирование
По узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив
Коннекторы
- WinEvent Connector
- MS SQL Connector
- Exchange Connector
- CISCO Connector
- Oracle Connector
- 1C Connector
- Syslog Connector
- Kaspersky Anti-Virus Connector
- VMware connector
- Fortigate Connector
- McAfee Connector
- SI DLP Connector
- Linux Connector
- RedCheck Connector и другие
Правила корреляции
- Более 300
- Возможность добавления
новых с помощью
встроенного редактора
Интерактивные отчеты
Отдельные интерактивные отчеты и настраиваемые дашборды
Экспорт готовых отчетов
- Отправка на печать
- .xml
- .xlsx
- .html
- .txt
- Экспорт в автоматическом режиме по расписанию в формате .xml
Внедрение «СёрчИнформ SIEM»
от 6 часов до 8 дней
Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.
ПО регулярно обновляется в рамках технической поддержки – функционал инструмента постоянно расширяется.
После окончания внедрения оказываем обязательную техническую поддержку.
Самый сложный момент внедрения SIEM – подключение источников событий.
Преимущества «СёрчИнформ SIEM»
Легкое внедрение
Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
Простота использования
В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
Подходит среднему и малому бизнесу
Невысокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
Учитывает опыт тысяч клиентов
Решения «СёрчИнформ» используют более 4 000 клиентов в 20 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
Симбиоз SIEM и DLP
Тандем систем «СёрчИнформ КИБ» и «СёрчИнформ
SIEM» многократно повышает уровень ИБ компании.
SIEM выявляет аномальное поведение и способ
получения доступа к информации. «СёрчИнформ КИБ» оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на
порядок эффективнее.
Сопровождение клиента
Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
Российский продукт
«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
Лицензирование
Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив.