Для чего нужна SIEM?
- Сбор событий из различных источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
- Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
- Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
- Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
Кому подойдет SIEM?
- Банки и компании финансового сектора
Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
-
Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
-
Предприятия, уже использующие DLP, IDS, IDM
Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
-
Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
-
Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
-
Географически распределенные предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра
Архитектура и алгоритм работы
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
- WinEventConnector – вычитка и анализ журнала Windows.
- Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
- ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SqlAuditConnector – вычитка логов сервера Microsoft SQL.
- KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
- ExchangeConnector – вычитка логов почтового сервера Exchange.
- ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SyslogConnector – сбор событий Syslog.
- DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
- OracleConnector – вычитка таблиц БД и логов Oracle Listener.
- VMwareConnector – сбор событий VMware ESXi.
- CiscoConnector – сбор событий сетевых устройств Cisco.
- SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
- LinuxConnector – сбор событий ОС Linux.
- CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
- SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
- PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
- CheckPointConnector – сбор событий межсетевого экрана Check Point.
- McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
Внедрение Серчинформ SIEM
От 6 часов до 8 дней
- Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.
- Самый сложный момент внедрения SIEM – подключение источников событий.
- После окончания внедрения оказываем обязательную техническую поддержку.
- ПО регулярно обновляется в рамках технической поддержки – функционал инструмента постоянно расширяется.
Преимущества «Серчинформ SIEM»
- Легкое внедрение
Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
- Простота использования
В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
- Подходит среднему и малому бизнесу
Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.
- Учитывает опыт тысяч клиентов
Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
- Симбиоз SIEM и DLP
Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
- Сопровождение клиента
Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
- Российский продукт
«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
- Лицензирование
Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.
Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.