ДЛЯ ЧЕГО НУЖНА SIEM
1
1.Сбор событий из различных источников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
2
2.Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
3
3.Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
4
4.Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
КОМУ ПОДОЙДЕТ SIEM
Банки и компании
финансового сектора
Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
Мобильные операторы
и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
Предприятия, уже
использующие DLP, IDS, IDM
Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
Компании из сектора малого
и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
Крупные предприятия с 1000+
компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
Географически распределенные
предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра
АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
- WinEventConnector – вычитка и анализ журнала Windows Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
- ESEventConnector – вычитка БД FileAuditor.
- SQLAuditConnector – вычитка логов сервера Microsoft SQL.
- KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
- ExchangeConnector – вычитка логов почтового сервера Exchange.
- ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SyslogConnector – сбор событий Syslog.
- DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
- OracleConnector – вычитка таблиц БД и логов Oracle Listener.
- PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
- 1CConnector – вычитка журналов 1C.
- DominoConnector – вычитка логов IBM Domino.
- DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
- VMwareConnector – сбор событий VMware ESXi.
- CiscoConnector – сбор событий сетевых устройств Cisco.
- SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
- LinuxConnector – сбор событий ОС Linux.
- CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
- SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
- PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
- CheckPointConnector – сбор событий межсетевого экрана Check Point.
- McafeeConnector осуществляет подключение к базе данных McAfee и чтение ее записей.
- ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory.
- ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET.
ИНТЕРФЕЙС И ОТЧЁТЫ
Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс
Экран отображения инцидентов
Визуализирует правила в виде плиток. В верхнем левом углу плитки отображается общее число инцидентов по правилу, в верхнем правом — количество непросмотренных из них. Данные обновляются автоматически каждые 30 минут либо вручную по нажатию кнопки.
Карта инцидентов
Интерпретирует структуру сети, компьютеров и пользователей, в привязке к серверам с установленными коннекторами SIEM.
Журнал инцидентов по выбранному правилу
Позволяет просматривать инциденты за нужный промежуток времени.
Экран настройки отображения отчетов
Позволяет настроить форму отображения отчетов в SIEM и схему управления работой с ними.
ТЕХНИЧЕСКОЕ ОПИСАНИЕ
Минимальные системные
требования к серверу
SIEM*
Базы данных
- SIEM: MongoDB
- DataCenter: MS SQL
Язык интерфейса
- RU
- EN
- PL
- UK
Лицензирование
-
По пользователям и устройствам – что
позволяет избежать потери данных в случае
всплеска инцидентов (как в системах,
лицензируемых по количеству инцидентов в
период времени)
Коннекторы i
- WinEvent Connector
- MS SQL Connector
- Exchange Connector
- CISCO Connector
- Oracle Connector
- Program Connector
- Syslog Connector
- Kaspersky Anti-Virus Connector
- VMware connector
- Fortigate Connector
- McAfee Connector
- SI DLP Connector
- Linux Connector
- CWA Connector и другие
Правила корреляции
- Более 250
-
Возможность добавления новых с помощью
встроенного редактора
Интерактивные отчеты
-
Визуализатор сети событий по
пользователям/источникам и инцидентам
Экспорт готовых отчетов
- Отправка на печать
- .xml
- .xlsx
- .html
*Материалы носят ознакомительный характер, часть описываемого функционала «СерчИнформ SIEM» находится в стадии доработки. Проект по расширению возможностей системы реализуется в формате софинансирования из собственных средств вендора и гранта РФРИТ.
ВНЕДРЕНИЕ СЁРЧИНФОРМ SIEM
От 6 часов до 8 дней
-
Внедрение, запуск и администрирование осуществляется
силами команды «СёрчИнформ» и IT-службы заказчика и
не требует привлечения сотрудников других отделов. -
Самый сложный момент внедрения SIEM – подключение
источников событий. -
После окончания внедрения оказываем обязательную
техническую поддержку. -
ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.
Этапы внедрения
1. Обследование инфраструктуры и инвентаризация
Проводится подробное обследование инфраструктуры сети, имеющихся активов оборудования и программного обеспечения, составляются карты сети и формируются списки активных пользователей. Заполняется анкета «СёрчИнформ».
Выполняется силами Заказчика
2. Формирование рекомендаций и утверждение ТЗ
На основании заполненной анкеты специалисты «СёрчИнформ» анализируют корпоративные активы клиента – и составляют рекомендации по подготовке к внедрению продукта.
Выполняется командой
«СёрчИнформ»
3. Установка и базовая настройка SIEM
Команда «СёрчИнформ» инсталлирует продукт в течении указанного периода.
Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика
4. Настройка и подключение источников событий
Оборудование и программные источники данных, которые будут интегрироваться с SIEM, настраиваются для передачи данных и подключаются к решению.
Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика
5. Донастройка решения
По желанию клиента специалист отдела внедрения помогает настроить оповещения, добавить новые или скорректировать существующие правила.
Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика
ПОЛИТИКИ БЕЗОПАСНОСТИ
250 + готовых правил
Примеры предустановленных политик
Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.
- Изменение состава критичных групп пользователей
- Временная выдача прав доступа AD
- Подбор паролей
- Операции с исполнимыми файлами на устройствах
- Копирование на съемное устройство
- Копирование большого объема данных на устройство
- Изменение в составе административной группы управления
- Самозащита антивируса отключена
- Выявлена вирусная эпидемия
- Критический перегрев оборудования
- Неудачные попытки входа
- Удаление снапшотов
- События ядра операционной системы
- Критичные предупреждения журналирования
- События почтовых систем
- Временное создание учетных данных MS SQL
- Статистика изменения прав доступа к MS SQL
- Задание пароля учетной записи SQL администратором БД
ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»
1
1.Легкое внедрение
Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
2
2.Простота использования
В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
3
3.Подходит среднему и малому бизнесу
Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
4
4.Учитывает опыт тысяч клиентов
Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
5
5.Симбиоз SIEM и DLP
Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
6
6.Сопровождение клиента
Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
7
7.Российский продукт
«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
8
8.Лицензирование
Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.
СЕРТИФИКАТ ФСТЭК И СООТВЕТСТВИЕ ПРИКАЗАМ
Выполнение требований:
- Приказа ФСТЭК России от 14 марта 2014 г. №31
- Приказа ФСТЭК России от 11 февраля 2013 г. №17
- Приказа ФСТЭК России от 18 февраля 2013 г. №21
- Приказа ФСТЭК России от 15 февраля 2017 г. №27
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
СЁРЧИНФОРМ УЖЕ ЗАЩИЩАЕТ
Продукты «СёрчИнформ» подходят компаниям из разных отраслей — от банковского дела до машиностроения. Обратная связь с клиентами позволяет максимально преднастраивать решения, чтобы они изначально учитывали специфику работы в разных сегментах
