- обработка потока событий
- выявление угроз
- расследование ИБ-инцидентов
Для чего нужна SIEM
- Сбор событий из различных источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
- Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
- Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путём выявления корреляций событий и/или инцидентов.
- Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
Кому подойдёт?
- Банки и компании финансового сектора
Мониторинг распределённой сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
- Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
- Предприятия, уже использующие DLP, IDS, IDM
Интеграция даёт ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
- Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учётом масштабирования финансовых нагрузок.
- Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
- Географически распределённые предприятия
Организация эффективной работы и сохранения работоспособности распределённой сетевой инфраструктуры и её контроль из единого центра.
Архитектура и алгоритм работы
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путём синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
- AzureConnector – вычитка логов серверов Microsoft Azure SQL
- ESEventConnector – вычитка логов сервера Microsoft SQL
- SQLAuditConnector – вычитка логов сервера Microsoft SQL
- KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus
- ExchangeConnector – вычитка логов почтового сервера
- Exchange
- RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей
- SyslogConnector – сбор событий Syslog
- 1C TechlogConnector – осуществляет чтение событий технологического журнала 1С
- OracleConnector – вычитка таблиц БД и логов Oracle Listener
- PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows "Приложения"
- 1CConnector – вычитка журналов 1C
- DominoConnector – вычитка логов IBM Domino
- DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей
- DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов
- IISConnector – сбор событий службы Microsoft IIS
- NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол
- SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP
- VipNetConnector – сбор событий из VipNet
- VMwareConnector – сбор событий VMware ESXi
- CiscoConnector – сбор событий сетевых устройств Cisco
- SIDLPConnector – сбор событий приложений
- "СёрчИнформ КИБ"
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate
- LinuxConnector – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon
- MongoDBConnector – вычитка логов СУБД Mongo DB
- RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей
- SymantecConnector – подключение к базе данных
- Symantec EPM и чтение её записей
- PaloAltoConnector – сбор событий межсетевого экрана
- Palo Alto
- CheckPointConnector – сбор событий межсетевого экрана
- Check Point
- McafeeConnector – осуществляет подключение к базе данных
- McAfee и чтение её записей
- ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory
- ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET
- GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик
- UserGateConnector – получает события от межсетевых экранов UserGate
Преимущества "СёрчИнформ SIEM"
Система "СёрчИнформ SIEM" не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов "из коробки".
В отличие от большинства аналогов "СёрчИнформ SIEM" интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
- Подходит среднему и малому бизнесу
Невысокие программно-аппаратные требования "СёрчИнформ SIEM" и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
Тандем систем "СёрчИнформ КИБ" и "СёрчИнформ SIEM" многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. "СёрчИнформ КИБ" оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
Установку ПО и решение технических проблем возьмёт на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
"СёрчИнформ SIEM" – продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив.
Настраивать "СёрчИнформ SIEM", работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист.
Закажите бесплатный 30-дневный триал. Полнофункциональное ПО без ограничений по пользователям и функциональности.
