СёрчИнформ SIEM:

Выявление угроз в режиме онлайн

СёрчИнформ SIEM

IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ОС сервера и ПК, базы данных, сетевые экраны, антивирусы, приложения, Active Directory, Exchange. Любые события в этих системах «логируются» (протоколируются). Однако без автоматизированного инструмента отследить, проанализировать все события и оперативно отреагировать на них не представляется возможным.

«СёрчИнформ SIEM» решает эту проблему: приложение собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Сложный механизм работы SIEM сводится к довольно простому алгоритму:

  • Сбор событий с разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
  • Приведение разнородных данных к общему виду.
  • Анализ данных и выявление угроз.
  • Фиксация инцидентов и оповещение в реальном времени.

Цели и задачи системы

Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
  • не восстановить данные.

«СёрчИнформ SIEM» позволяет осуществлять централизованный сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов real-time

«СёрчИнформ SIEM» не просто унифицирует события, но и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

«СёрчИнформ SIEM» осуществляет мониторинг событий в реальном времени, что позволяет обрабатывать их сразу при поступлении в систему. Таким образом решение выполняет свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты.

«СёрчИнформ SIEM» выявит:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Вирусные эпидемии или отдельные вирусные заражения.
  • Попытки несанкционированного доступа к конфиденциальной информации.
  • Мошенничество и целевые атаки (APT).
  • Ошибки и сбои в работе информационных систем.
  • Ошибки конфигураций в средствах защиты и информационных системах.

«СёрчИнформ SIEM» – уникальная SIEM-система, которая не идет по стандартному пути, проложенному другими вендорами. Создавая ПО, мы учитывали опыт и задачи компаний из всех областей бизнеса и создали систему, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.