SearchInform / СЁРЧИНФОРМ SIEM

Обработка потока событий. Выявление угроз. Расследование ИБ-инцидентов.
  • ВендорSearchInform
  • ПродуктПрограммное обеспечение
  • ТипИнформационная безопасность
  • ПрименениеДля бизнеса

Для чего нужна SIEM:

1. Сбор событий из различных источников

SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

2. Нормализация и обогащение событий

Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

3. Корреляция и применение правил

Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

4. Оповещения и инцидент-менеджмент

Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

Кому подойдет SIEM:

  • Банки и компании финансового сектора

Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.

  • Мобильные операторы и телеком-компании

Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.

  • Предприятия, уже использующие DLP, IDS, IDM

Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.

  • Компании из сектора малого и среднего бизнеса

Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.

  • Крупные предприятия с 1000+ компьютеров и устройств

Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.

  • Географически распределенные предприятия

Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра

Архитектура и алгоритм работы

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

  • WinEventConnector – вычитка и анализ журнала Windows.
  • Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
  • ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SqlAuditConnector – вычитка логов сервера Microsoft SQL.
  • KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
  • ExchangeConnector – вычитка логов почтового сервера Exchange.
  • ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SyslogConnector – сбор событий Syslog.
  • DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
  • OracleConnector – вычитка таблиц БД и логов Oracle Listener.
  • VMwareConnector – сбор событий VMware ESXi.
  • CiscoConnector – сбор событий сетевых устройств Cisco.
  • SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
  • FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
  • LinuxConnector – сбор событий ОС Linux.
  • CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
  • SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
  • PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
  • CheckPointConnector – сбор событий межсетевого экрана Check Point.
  • McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.

Внедрение Серчинформ SIEM

От 6 часов до 8 дней

  • Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.
  • Самый сложный момент внедрения SIEM – подключение источников событий.
  • После окончания внедрения оказываем обязательную техническую поддержку.
  • ПО регулярно обновляется в рамках технической поддержки – функционал инструмента постоянно расширяется.

Преимущества «Серчинформ SIEM»

1. Легкое внедрение

Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

2. Простота использования

В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

3. Подходит среднему и малому бизнесу

Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.

4. Учитывает опыт тысяч клиентов

Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».

5. Симбиоз SIEM и DLP

Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.

6. Сопровождение клиента

Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

7. Российский продукт

«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

8. Лицензирование

Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.