Главная > СёрчИнформ SIEM

30 дней для тестирования с полным функционалом

СЁРЧИНФОРМ SIEM

ОБРАБОТКА ПОТОКА СОБЫТИЙ

ВЫЯВЛЕНИЕ УГРОЗ

РАССЛЕДОВАНИЕ ИБ-ИНЦИДЕНТОВ

ДЛЯ ЧЕГО НУЖНА SIEM

1 1.Сбор событий из различных источников

SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

2 2.Нормализация и обогащение событий

Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

3 3.Корреляция и применение правил

Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

4 4.Оповещения и инцидент-менеджмент

Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

КОМУ ПОДОЙДЕТ SIEM

Банки и компании
финансового сектора

Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.

Мобильные операторы
и телеком-компании

Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.

Предприятия, уже
использующие DLP, IDS, IDM

Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.

Компании из сектора малого
и среднего бизнеса

Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.

Крупные предприятия с 1000+
компьютеров и устройств

Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.

Географически распределенные
предприятия

Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра

АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

WinEventConnector – вычитка и анализ журнала Windows Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
SqlAuditConnector – вычитка логов сервера Microsoft SQL.
KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
ExchangeConnector – вычитка логов почтового сервера Exchange.
ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
SyslogConnector – сбор событий Syslog.
DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
OracleConnector – вычитка таблиц БД и логов Oracle Listener.

VMwareConnector – сбор событий VMware ESXi.
CiscoConnector – сбор событий сетевых устройств Cisco.
SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
LinuxConnector – сбор событий ОС Linux.
CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
CheckPointConnector – сбор событий межсетевого экрана Check Point.
McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.

ИНТЕРФЕЙС И ОТЧЁТЫ

Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс

Экран отображения инцидентов

Визуализирует правила в виде плиток. В верхнем левом углу плитки отображается общее число инцидентов по правилу, в верхнем правом — количество непросмотренных из них. Данные обновляются автоматически каждые 30 минут либо вручную по нажатию кнопки.

Карта инцидентов

Интерпретирует структуру сети, компьютеров и пользователей, в привязке к серверам с установленными коннекторами SIEM.

Журнал инцидентов по выбранному правилу

Позволяет просматривать инциденты за нужный промежуток времени.

Экран настройки отображения отчетов

ТЕХНИЧЕСКОЕ ОПИСАНИЕ

Минимальные системные
требования к серверу
SIEM

Процессор: 4-ядерный частотой 2,1 ГГц
Оперативная память: 4 ГБ¹
Винчестер: 200 ГБ²
Сетевая карта: 100 Мбит/с

Базы данных

SIEM: MongoDB
DataCenter: MS SQL

Язык интерфейса

Лицензирование

По пользователям и устройствам – что
позволяет избежать потери данных в случае
всплеска инцидентов (как в системах,
лицензируемых по количеству инцидентов в
период времени)

Коннекторы³

WinEvent Connector
MS SQL Connector
Exchange Connector
CISCO Connector
Oracle Connector
Program Connector
Syslog Connector

Kaspersky Anti-Virus Connector
VMware connector
Fortigate Connector
McAfee Connector
SI DLP Connector
Linux Connector
CWA Connector и другие

Правила корреляции

Более 250
Возможность добавления новых с помощью
встроенного редактора

Интерактивные отчеты

Визуализатор сети событий по
пользователям/источникам и инцидентам

Экспорт готовых отчетов

Отправка на печать
.xml
.xls
.xlsx

.pdf
.txt
.html

¹ При создании пользовательских правил требования к оперативной памяти возрастают (~15 Мб для каждого нового правила).

² По мере сохранения событий в базу данных SIEM может потребоваться дополнительное дисковое пространство.

³ Список коннекторов постоянно расширяется.

ВНЕДРЕНИЕ СЁРЧИНФОРМ SIEM

От 6 часов до 8 дней

Внедрение, запуск и администрирование осуществляется
силами команды «СёрчИнформ» и IT-службы заказчика и
не требует привлечения сотрудников других отделов.
Самый сложный момент внедрения SIEM – подключение
источников событий.
После окончания внедрения оказываем обязательную
техническую поддержку.
ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.

Этапы внедрения

Выполняется силами заказчика

1. Обследование инфраструктуры и инвентаризация

Проводится подробное обследование инфраструктуры сети, имеющихся активов оборудования и программного обеспечения, составляются карты сети и формируются списки активных пользователей. Заполняется анкета «СёрчИнформ».

Выполняется силами Заказчика

Выполняется командой
«СёрчИнформ»

2. Формирование рекомендаций и утверждение ТЗ

На основании заполненной анкеты специалисты «СёрчИнформ» анализируют корпоративные активы клиента – и составляют рекомендации по подготовке к внедрению продукта.

Выполняется командой
«СёрчИнформ»

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

3. Установка и базовая настройка SIEM

Команда «СёрчИнформ» инсталлирует продукт в течении указанного периода.

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

4. Настройка и подключение источников событий

Оборудование и программные источники данных, которые будут интегрироваться с SIEM, настраиваются для передачи данных и подключаются к решению.

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

5. Донастройка решения

По желанию клиента специалист отдела внедрения помогает настроить оповещения, добавить новые или скорректировать существующие правила.

Выполняется командой
«СёрчИнформ» при поддержке
IT-службы заказчика

ПОЛИТИКИ БЕЗОПАСНОСТИ

250 + готовых правил

Примеры предустановленных политик

Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.

Правила AD

Изменение состава критичных групп пользователей
Временная выдача прав доступа AD
Подбор паролей

Правила Device Controller

Операции с исполнимыми файлами на устройствах
Копирование на съемное устройство
Копирование большого объема данных на устройство

Правила Kaspersky Anti-Virus

Изменение в составе административной группы управления
Самозащита антивируса отключена
Выявлена вирусная эпидемия

Правила VMware

Критический перегрев оборудования
Неудачные попытки входа
Удаление снапшотов

Правила Syslog

События ядра операционной системы
Критичные предупреждения журналирования
События почтовых систем

Правила MS SQL

Временное создание учетных данных MS SQL
Статистика изменения прав доступа к MS SQL
Задание пароля учетной записи SQL администратором БД

Смотреть все коннекторы и правила

ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»

1 1.Легкое внедрение

Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

2 2.Простота использования

В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

3 3.Подходит среднему и малому бизнесу

Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.

4 4.Учитывает опыт тысяч клиентов

Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».

5 5.Симбиоз SIEM и DLP

Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.

6 6.Сопровождение клиента

Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

7 7.Российский продукт

«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

8 8.Лицензирование

Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.

СЕРТИФИКАТ ФСТЭК И СООТВЕТСТВИЕ ПРИКАЗАМ

Сертификат ФСТЭК России № 3924 по требованиям безопасности информации № РОСС RU.0001.01БИ00 на соответствие «СёрчИнформ SIEM» четвертому уровню контроля НДВ и технических условий

Лицензия № 0015110 Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на осуществление разработки и производства средств защиты конфиденциальной информации

Срок действия: бессрочно

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации

Срок действия: бессрочно

Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации

Срок действия: бессрочно

Выполнение требований:

Приказа ФСТЭК России от 14 марта 2014 г. №31
Приказа ФСТЭК России от 11 февраля 2013 г. №17
Приказа ФСТЭК России от 18 февраля 2013 г. №21
Приказа ФСТЭК России от 15 февраля 2017 г. №27
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

СЁРЧИНФОРМ УЖЕ ЗАЩИЩАЕТ

Продукты «СёрчИнформ» подходят компаниям из разных отраслей — от банковского дела до машиностроения. Обратная связь с клиентами позволяет максимально преднастраивать решения, чтобы они изначально учитывали специфику работы в разных сегментах