СЁРЧИНФОРМ SIEM

ОБРАБОТКА ПОТОКА СОБЫТИЙ

 

ВЫЯВЛЕНИЕ УГРОЗ

 

РАССЛЕДОВАНИЕ ИБ-ИНЦИДЕНТОВ

ДЛЯ ЧЕГО НУЖНА SIEM

1

1.Сбор событий из различных источников

SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

2

2.Нормализация и обогащение событий

Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

3

3.Корреляция и применение правил

Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

4

4.Оповещения и инцидент-менеджмент

Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

КОМУ ПОДОЙДЕТ SIEM

 

Банки и компании
финансового сектора

Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.

 

Мобильные операторы
и телеком-компании

Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.

 

Предприятия, уже
использующие DLP, IDS, IDM

Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.

 

Компании из сектора малого
и среднего бизнеса

Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.

 

Крупные предприятия с 1000+
компьютеров и устройств

Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.

 

Географически распределенные
предприятия

Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра

АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

  • WinEventConnector – вычитка и анализ журнала Windows
  • Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
  • ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SqlAuditConnector – вычитка логов сервера Microsoft SQL.
  • KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
  • ExchangeConnector – вычитка логов почтового сервера Exchange.
  • ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SyslogConnector – сбор событий Syslog.
  • DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
  • OracleConnector – вычитка таблиц БД и логов Oracle Listener.
  • VMwareConnector – сбор событий VMware ESXi.
  • CiscoConnector – сбор событий сетевых устройств Cisco.
  • SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
  • FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
  • LinuxConnector – сбор событий ОС Linux.
  • CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
  • SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
  • PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
  • CheckPointConnector – сбор событий межсетевого экрана Check Point.
  • McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.

ИНТЕРФЕЙС И ОТЧЁТЫ

Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс

ТЕХНИЧЕСКОЕ ОПИСАНИЕ

Минимальные системные
требования к серверу
SIEM

  • Процессор: 4-ядерный частотой 2,1 ГГц
  • Оперативная память: 4 ГБ1
  • Винчестер: 200 ГБ2
  • Сетевая карта: 100 Мбит/с
 

Базы данных

  • SIEM: MongoDB
  • DataCenter: MS SQL
 

Язык интерфейса

  • RU
  • EN
  • PL
  • UK
 

Лицензирование

  • По пользователям и устройствам – что
    позволяет избежать потери данных в случае
    всплеска инцидентов (как в системах,
    лицензируемых по количеству инцидентов в
    период времени)
 

Коннекторы3

  • WinEvent Connector
  • MS SQL Connector
  • Exchange Connector
  • CISCO Connector
  • Oracle Connector
  • Program Connector
  • Syslog Connector
  • Kaspersky Anti-Virus Connector
  • VMware connector
  • Fortigate Connector
  • McAfee Connector
  • SI DLP Connector
  • Linux Connector
  • CWA Connector и другие
 

Правила корреляции

  • Более 250
  • Возможность добавления новых с помощью
    встроенного редактора
 

Интерактивные отчеты

  • Визуализатор сети событий по
    пользователям/источникам и инцидентам
 

Экспорт готовых отчетов

  • Отправка на печать
  • .xml
  • .xls
  • .xlsx
  • .pdf
  • .txt
  • .html
 

ВНЕДРЕНИЕ СЁРЧИНФОРМ SIEM

От 6 часов до 8 дней

  • Внедрение, запуск и администрирование осуществляется
    силами команды «СёрчИнформ» и IT-службы заказчика и
    не требует привлечения сотрудников других отделов.
  • Самый сложный момент внедрения SIEM – подключение
    источников событий.
  • После окончания внедрения оказываем обязательную
    техническую поддержку.
  • ПО регулярно обновляется в рамках технической
    поддержки – функционал инструмента постоянно
    расширяется.

Этапы внедрения

1

1. Обследование инфраструктуры и инвентаризация

Проводится подробное обследование инфраструктуры сети, имеющихся активов оборудования и программного обеспечения, составляются карты сети и формируются списки активных пользователей. Заполняется анкета «СёрчИнформ».

От 2 до 4 недель

Выполняется силами Заказчика

2

2. Формирование рекомендаций и утверждение ТЗ

На основании заполненной анкеты специалисты «СёрчИнформ» анализируют корпоративные активы клиента – и составляют рекомендации по подготовке к внедрению продукта.

От 2 часов до 2 дней

Выполняется командой
«СёрчИнформ»

3

3. Установка и базовая настройка SIEM

Команда «СёрчИнформ» инсталлирует продукт в течении указанного периода.

1 час – 2 дня

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

4

4. Настройка и подключение источников событий

Оборудование и программные источники данных, которые будут интегрироваться с SIEM, настраиваются для передачи данных и подключаются к решению.

2 часа – 3 дня

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

5

5. Донастройка решения

По желанию клиента специалист отдела внедрения помогает настроить оповещения, добавить новые или скорректировать существующие правила.

1 час – 1 день

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

ПОЛИТИКИ БЕЗОПАСНОСТИ

250 + готовых правил

Примеры предустановленных политик

Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.

Правила AD
  • Изменение состава критичных групп пользователей
  • Временная выдача прав доступа AD
  • Подбор паролей
Правила Device Controller
  • Операции с исполнимыми файлами на устройствах
  • Копирование на съемное устройство
  • Копирование большого объема данных на устройство
Правила Kaspersky Anti-Virus
  • Изменение в составе административной группы управления
  • Самозащита антивируса отключена
  • Выявлена вирусная эпидемия
Правила VMware
  • Критический перегрев оборудования
  • Неудачные попытки входа
  • Удаление снапшотов
Правила Syslog
  • События ядра операционной системы
  • Критичные предупреждения журналирования
  • События почтовых систем
Правила MS SQL
  • Временное создание учетных данных MS SQL
  • Статистика изменения прав доступа к MS SQL
  • Задание пароля учетной записи SQL администратором БД

ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»

1

1.Легкое внедрение

Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

2

2.Простота использования

В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

3

3.Подходит среднему и малому бизнесу

Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.

4

4.Учитывает опыт тысяч клиентов

Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».

5

5.Симбиоз SIEM и DLP

Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.

6

6.Сопровождение клиента

Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

7

7.Российский продукт

«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

8

8.Лицензирование

Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.

СЕРТИФИКАТ ФСТЭК И СООТВЕТСТВИЕ ПРИКАЗАМ

 
 
 
 
 

Выполнение требований:

  • Приказа ФСТЭК России от 14 марта 2014 г. №31
  • Приказа ФСТЭК России от 11 февраля 2013 г. №17
  • Приказа ФСТЭК России от 18 февраля 2013 г. №21
  • Приказа ФСТЭК России от 15 февраля 2017 г. №27
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

СЁРЧИНФОРМ УЖЕ ЗАЩИЩАЕТ

Продукты «СёрчИнформ» подходят компаниям из разных отраслей — от банковского дела до машиностроения. Обратная связь с клиентами позволяет максимально преднастраивать решения, чтобы они изначально учитывали специфику работы в разных сегментах

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 

© 2018 ООО «СёрчИнформ»

Все права защищены