1 Сбор событий из различных источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
2 Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
3 Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
4 Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
КОМУ ПОДОЙДЕТ SIEM
Банки и компании финансового сектора
Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
Предприятия, уже использующие DLP, IDS, IDM
Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
Географически распределенные предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра
АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
- WinEventConnector – вычитка и анализ журнала Windows Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
- ESEventConnector – вычитка БД FileAuditor.
- SQLAuditConnector – вычитка логов сервера Microsoft SQL.
- KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
- ExchangeConnector – вычитка логов почтового сервера Exchange.
- ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SyslogConnector – сбор событий Syslog.
- DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
- OracleConnector – вычитка таблиц БД и логов Oracle Listener.
- PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
- 1CConnector – вычитка журналов 1C.
- DominoConnector – вычитка логов IBM Domino.
- DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
- VMwareConnector – сбор событий VMware ESXi.
- CiscoConnector – сбор событий сетевых устройств Cisco.
- SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
- LinuxConnector – сбор событий ОС Linux.
- CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
- SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
- PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
- CheckPointConnector – сбор событий межсетевого экрана Check Point.
- McafeeConnector осуществляет подключение к базе данных McAfee и чтение ее записей.
- ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory.
- ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET.
ИНТЕРФЕЙС И ОТЧЁТЫ
Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс
ТЕХНИЧЕСКОЕ ОПИСАНИЕ
Минимальные системные
требования к серверу
SIEM
Базы данных
Язык интерфейса
Лицензирование
Коннекторы i
Правила корреляции
Интерактивные отчеты
Экспорт готовых отчетов
Процессор: 4-ядерный, частотой 2,1 ГГц
Оперативная память: 4 ГБ i
Винчестер: 200 ГБ i
Сетевая карта: 100 Мбит/с
SIEM: MongoDB
DataCenter: MS SQL
RU EN
EN UK
По пользователям и устройствам – что
позволяет избежать потери данных в случае
всплеска инцидентов (как в системах,
лицензируемых по количеству инцидентов в
период времени)
WinEvent Connector
MS SQL Connector
Exchange Connector
CISCO Connector
Oracle Connector
Program Connector
Syslog Connector
Kaspersky Anti-Virus Connector
VMware connector
Fortigate Connector
McAfee Connector
SI DLP Connector
Linux Connector
CWA Connector и другие
Более 250
Возможность добавления новых с помощью
встроенного редактора
Визуализатор сети событий по
пользователям/источникам и инцидентам
Отправка на печать .pdf
.xml .txt
.xls .html
.xls
.txt
ВНЕДРЕНИЕ СЁРЧИНФОРМ SIEM
От 6 часов до 8 дней
- Внедрение, запуск и администрирование осуществляется
силами команды «СёрчИнформ» и IT-службы заказчика и
не требует привлечения сотрудников других отделов. - Самый сложный момент внедрения SIEM – подключение
источников событий. - После окончания внедрения оказываем обязательную
техническую поддержку. - ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.
Этапы внедрения
ПОЛИТИКИ БЕЗОПАСНОСТИ
250 + готовых правил
Примеры предустановленных политик
Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.
Правила AD
Изменение состава критичных групп пользователей Временная выдача прав доступа AD Подбор паролей
Правила Device Controller
Операции с исполнимыми файлами на устройствах Копирование на съемное устройство Копирование большого объема данных на устройство
Правила Kaspersky Anti-Virus
Изменение в составе административной группы управления Самозащита антивируса отключена Выявлена вирусная эпидемия
Правила VMware
Критический перегрев оборудования Неудачные попытки входа Удаление снапшотов
Правила Syslog
События ядра операционной системы Критичные предупреждения журналирования События почтовых систем
Правила MS SQL
Временное создание учетных данных MS SQL Статистика изменения прав доступа к MS SQL Задание пароля учетной записи SQL администратором БД
ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»
1 Легкое внедрение
Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
2 Простота использования
В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
3 Подходит среднему и малому бизнесу
Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
4 Учитывает опыт тысяч клиентов
Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
5 Симбиоз SIEM и DLP
Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
6 Сопровождение клиента
Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
7 Российский продукт
«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
8 Лицензирование
Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.
СЕРТИФИКАТ ФСТЭК И СООТВЕТСТВИЕ ПРИКАЗАМ
Лицензия № 0015110 Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на осуществление разработки и производства средств защиты конфиденциальной информации
Срок действия: бессрочно
- Приказа ФСТЭК России от 14 марта 2014 г. №31
- Приказа ФСТЭК России от 11 февраля 2013 г. №17
- Приказа ФСТЭК России от 18 февраля 2013 г. №21
- Приказа ФСТЭК России от 15 февраля 2017 г. №27
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»