1 Turli manbalardan olingan voqealar to’plami
SIEM turli dasturiy va apparat manbalaridan jurnallarni to’playdi va ular bilan bitta interfeysda ishlash imkonini beradi.
2 Hodisalarni normallashtirish va boyitish
Standart operatorlar yordamida hodisalarni yagona formatga keltirish va hodisalarni etishmayotgan ma’lumotlar bilan boyitish.
3 Qoidalarning korrelyatsiyasi va qo’llanilishi
Hodisalarni tahlil qilish va hodisalarni qoidalarga muvofiq shakllantirish. Voqealar va/yoki hodisalarning korrelyatsiyasini aniqlash orqali tahdidlarni aniqlash.
4 Ogohlantirishlar va hodisalarni boshqarish
Hodisalar haqida mas’ul shaxslarni avtomatik ravishda xabardor qiladi va tergov uchun zarur bo’lgan ma’lumotlarni taqdim etadi.
SIEM KIMLARGA MUVOFIQ?
Banklar va moliyaviy sektor kompaniyalari
Ko'p sonli foydalanuvchilar va qurilmalarga ega bo'lgan taqsimlangan tarmoq infratuzilmasini kuzatish, hodisalarni qayd etish va hodisalarni aniqlash.
Uyali aloqa operatorlari va aloqa kompaniyalari
O'z tuzilmangizning ishlashini kuzatish. Ichki siyosatlarga rioya qilish va minglab turli manbalardan jurnallarni standartlashtirish.
DLP, IDS, IDM dan allaqachon foydalanayotgan korxonalar
Integratsiya mavjud mahsulotlar va SIEM funksionalligini sezilarli darajada oshirishni ta'minlaydi, bu har bir elementning ta'sirini maksimal darajada oshirishga imkon beradi.
Kichik va o'rta biznes sohasi kompaniyalari
Tarmoq infratuzilmasi sog'lig'ini nazorat qilish va moliyaviy yuklarni ko'paytirishni hisobga olgan holda foydalanuvchi siyosatiga rioya qilish.
1000 dan ortiq kompyuter va qurilmalarga ega yirik korxonalar
Kundalik voqealarning terabaytlarini tahlil qiling va darhol javob berish va aralashuvni talab qiladigan hodisalarga e'tibor bering.
Geografik jihatdan taqsimlangan korxonalar
Tarqalgan tarmoq infratuzilmasining samarali ishlashini va funksionalligini saqlashni tashkil etish va uni yagona markazdan boshqarish
ARXITEKTURA VA ISHLATISH ALGORITMI
SIEM serveri axborot xavfsizligi hodisalarini qayta ishlash, korrelyatsiya qilish va ularga javob berish uchun javobgardir. Hodisalarni ularning tashabbuskorlari bilan moslashtirish uchun SIEM server SearchInform DataCenter komponentidan foydalanadi. O’z navbatida DataCenter Active Directory bilan sinxronlash orqali foydalanuvchilar va kompyuterlar haqidagi ma’lumotlarni oladi. SIEM serveri uchun ma’lumotlarni to’plash, uni normallashtirish va o’zaro bog’lash ulagichlar tomonidan ta’minlanadi:
- WinEventConnector – Windows Voqealar jurnalini, domen kontrollerlarini va Windows serverlarini o’qish va tahlil qilish, LDAP protokoli orqali hisob ma’lumotlarini o’qish va tahlil qilish.
- ESEventConnector – FileAuditor ma’lumotlar bazasini o’qish.
- SQLAuditConnector – Microsoft SQL server jurnallarini o’qish.
- KavEventConnector – Kasperskiy Anti-Virus ma’lumotlar bazasi yozuvlarini o’qish.
- ExchangeConnector – Exchange pochta serveri jurnallarini o’qiydi.
- ProgramConnector – ProgramController ma’lumotlar bazasiga ulanish orqali foydalanuvchi faoliyati to’g’risidagi ma’lumotlarni to’plash (KIB SearchInform serveri ishlatiladi, yuqoridagi diagrammaga qarang).
- SyslogConnector – Syslog hodisalari to’plami.
- DeviceConnector – DeviceController ma’lumotlar bazasini o’qish (tashqi qurilmalar bilan fayl operatsiyalari haqida ma’lumot).
- OracleConnector – ma’lumotlar bazasi jadvallari va Oracle Listener jurnallarini o’qish.
- PostgreSQLConnector – Windows ilovalari jurnalidan PostgreSQL protokollarini o’qish va tahlil qilish.
- 1CConnector – 1C jurnallarini tekshirish.
DominoConnector – IBM Domino jurnalini o’qish.
DrWebConnector Dr.Web antivirus ma’lumotlar bazalariga ulanadi va ularning yozuvlarini o’qiydi.
- VMwareConnector – VMware ESXi voqealarini to’plang.
- CiscoConnector – Cisco tarmoq qurilmalaridagi voqealarni to’playdi.
- SIDLPConnector – KIB SearchInform ilovalaridagi voqealar to’plami.
- FortigateConnector – FortiGate keng qamrovli tarmoq xavfsizligi qurilmasidan voqealarni to’playdi.
- LinuxConnector – Linux OS voqealar to’plami.
- CWAConnector – 1C jurnallari va nazorat tarozilaridan voqealarni o’qish.
- SymantecConnector – Symantec EPM ma’lumotlar bazasiga ulanadi va uning yozuvlarini o’qiydi.
- PaloAltoConnector – Palo Alto xavfsizlik devori hodisalari to’plami.
- CheckPointConnector – Check Point xavfsizlik devori hodisalarini to’playdi.
- McafeeConnector McAfee maʼlumotlar bazasiga ulanadi va uning yozuvlarini oʻqiydi.
- ADMonitoringConnector Active Directory atributlari va obyektlariga oʻzgarishlarni kuzatib boradi.
- ESETConnector siz ESET antivirus dasturidan voqealar olishingizni taʼminlaydi.
INTERFESYON VA HISOBOTLAR
Har qanday axborot xavfsizligi yoki IT mutaxassisi SearchInform SIEM ni sozlashi, u bilan ishlashi va hodisalarga tezda javob berishi mumkin. Buni amalga oshirish va xavfsizlik muammolarini samarali hal qilish uchun biz tayyor xavfsizlik siyosatini yaratdik, manbalarni ulash jarayonini soddalashtirdik va intuitiv interfeys yaratdik.
TEXNIK TAVSIFI
Minimal tizim
server talablari
SIEM
Ma’lumotlar bazasi
Interfeys tili
Litsenziyalash
Ulagichlar i
Korrelyatsiya qoidalari
Interaktiv hisobotlar
Tayyor hisobotlarni eksport qilish
Protsessor: 4 yadroli, 2,1 gigagertsli
RAM: 4 GB i
Winchester: 200 GB i
Tarmoq kartasi: 100 Mbit / s
SIEM: MongoDB
DataCenter: MS SQL
RU UZ
UZ Buyuk Britaniya
Foydalanuvchilar va qurilmalar tomonidan – nima
holatlarda ma’lumotlar yo’qolishining oldini olishga imkon beradi
hodisalarning ko’payishi (tizimlardagi kabi
voqealar soni bo’yicha litsenziyalangan
vaqt davri)
WinEvent ulagichi
MS SQL ulagichi
Exchange ulagichi
Cisco ulagichi
Oracle ulagichi
Dastur ulagichi
Syslog ulagichi
Kasperskiy antivirus ulagichi
VMware ulagichi
Fortigate ulagichi
McAfee ulagichi
SI DLP ulagichi
Linux ulagichi
CWA ulagichi va boshqalar
250 dan ortiq
Foydalanishda yangilarini qo’shish imkoniyati
o’rnatilgan muharriri
Voqealar tarmog’i vizualizatori
foydalanuvchilar/manbalar va hodisalar
Chop etish uchun yuborish .pdf
.xml .txt
.xls .html
.xls
.Xabar
SIEM SEARCHINFORM TA’MINOTI
6 soatdan 8 kungacha
- Amalga oshirish, ishga tushirish va boshqarish amalga oshiriladi
- SearchInform jamoasi va mijozning IT xizmati va
boshqa bo’limlarning xodimlarini jalb qilishni talab qilmaydi. - SIEMni amalga oshirishning eng qiyin payti ulanishdir
voqea manbalari. - Amalga oshirishni tugatgandan so’ng, biz majburiy ta’minlaymiz
texnik yordam. - Dasturiy ta’minot texnik qism sifatida muntazam yangilanadi
- Qo’llab-quvvatlash – asbobning funksionalligi doimiy
kengaytiradi.
Amalga oshirish bosqichlari
XAVFSIZLIK SIYoSATLARI
250+ tayyor qoidalar
Oldindan belgilangan siyosatlarga misollar
SearchInform SIEM ning asosiy afzalliklaridan biri shundaki, u deyarli qutidan tashqarida ishlaydi. Tizim tayyor siyosatlar majmuasi bilan birga keladi va biznesning barcha sohalari va iqtisodiyot tarmoqlari kompaniyalarining tajribasi va maqsadlarini hisobga oladi. Ulagichlar va qoidalar ro’yxati doimiy ravishda kengayib bormoqda.
AD qoidalari
Muhim foydalanuvchilar guruhlari tarkibini o'zgartirish Vaqtinchalik AD ruxsatnomalarini berish Parol tanlash
Qurilmani boshqarish qoidalari
Qurilmalarda bajariladigan fayllar bilan operatsiyalar Olinadigan qurilmaga nusxa ko'chiring Qurilmangizga katta hajmdagi ma'lumotlarni nusxalash
Kasperskiy antivirus qoidalari
Ma'muriy boshqaruv jamoasi tarkibini o'zgartirish Antivirus o'zini himoya qilish o'chirilgan Virusli epidemiya aniqlangan
VMware qoidalari
Uskunaning jiddiy haddan tashqari qizishi Kirish urinishlari muvaffaqiyatsiz tugadi Suratlarni oʻchirish
Syslog qoidalari
Operatsion tizim yadro hodisalari Jiddiy ro'yxatga olish haqida ogohlantirishlar Pochta tizimi voqealari
MS SQL qoidalari
MS SQL hisob ma'lumotlarini vaqtincha yaratish MS SQL ga kirish huquqidagi o'zgarishlar statistikasi SQL hisobi parolini DBA sifatida sozlash
SEARCHINFORM SIEM AVTOZYATLARI
1 Oson amalga oshirish
SearchInform SIEM tizimi uzoq muddatli dastlabki sozlashni talab qilmaydi. Oldindan o’rnatilgan siyosatlar o’rnatilgandan so’ng darhol ishlashga tayyor. Yechim qutidan tashqarida bir qator tahdid va hodisalarni aniqlashga qodir.
2 Foydalanish qulayligi
Ko’pgina analoglardan farqli o’laroq, SearchInform SIEM intuitivdir; O’rnatilgan va sozlangan tizim bilan ishlash uchun yuqori malakali va qimmat mutaxassislarni jalb qilish shart emas.
3 O’rta va kichik biznes uchun javob beradi
SearchInform SIEM ning past apparat va dasturiy ta’minot talablari va maqbul narx siyosati ushbu yechimni hatto kichik va o’rta biznesda ham amalga oshirish imkonini beradi.
4 Minglab mijozlar tajribasini hisobga oladi
SearchInform yechimlaridan 17 mamlakatda 2000 dan ortiq mijozlar foydalanadi. Biz ulardan eng yiriklarining tajribasini o‘rganib chiqdik, umumiy ehtiyojlar va ilg‘or tajribalarni aniqladik va ikkinchisini SearchInform SIEM da joriy qildik.
5 SIEM va DLP simbiozi
CIB SearchInform va SearchInform SIEM tizimlarining tandemi kompaniyaning axborot xavfsizligi darajasini sezilarli darajada oshiradi. SIEM anomal xatti-harakatlarni va ma’lumotlarga qanday kirishni aniqlaydi. CIB xabarlar mazmunini baholaydi. Ushbu ikki mahsulotning integratsiyasi ularning har biriga ancha samarali ishlash imkonini beradi.
6 Mijozlarni qo’llab-quvvatlash
Texnik yordam muhandisi dasturiy ta’minotni o’rnatadi va texnik muammolarni hal qiladi. Amalga oshirish bo’limi mutaxassisi sizni SIEM bilan ishlashga o’rgatadi, qoidalarni o’rnatishda yordam beradi, yangilanishlardan xabardor bo’lib turadi va maslahat beradi. Ma’muriy va boshqa masalalar shaxsiy menejer tomonidan hal qilinadi.
7 rus mahsuloti
SearchInform SIEM rus ishlab chiqaruvchisi mahsulotidir. Tizim import o‘rnini bosish to‘g‘risidagi qonun talablariga javob beradi.
8 Litsenziyalash
Bu trafik hajmi bo’yicha emas, balki foydalanuvchilar/kompyuterlar/qurilmalar soni bo’yicha amalga oshiriladi. Bu shuni anglatadiki, mijoz dasturiy ta’minotni sotib olish va unga egalik qilish xarajatlarini osongina hisoblashi mumkin.
FSTEC SERTIFIKATI VA Buyurtmalarga muvofiqligi
Maxfiy ma’lumotlarni himoya qilish vositalarini ishlab chiqish va ishlab chiqarish uchun Rossiya FSBning litsenziyalash, sertifikatlash va davlat sirlarini himoya qilish markazining № 0015110 litsenziyasi.
Amal qilish muddati: cheklanmagan
- Rossiya FSTECning 2014 yil 14 martdagi 31-son buyrug’i
- Rossiya FSTECning 2013 yil 11 fevraldagi 17-son buyrug’i
- Rossiya FSTECning 2013 yil 18 fevraldagi 21-son
- buyrug’i
Rossiya FSTECning 2017 yil 15 fevraldagi 27-son buyrug’i - «Shaxsiy ma’lumotlar to’g’risida» 2006 yil 27 iyuldagi 152-FZ-son Federal qonuni
