СёрчИнформ SIEM

IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ОС сервера и ПК, базы данных, сетевые экраны, антивирусы, приложения, Active Directory, Exchange. Любые события в этих системах «логируются» (протоколируются). Однако без автоматизированного инструмента отследить, проанализировать все события и оперативно отреагировать на них не представляется возможным.

«СёрчИнформ SIEM» решает эту проблему: приложение собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Сложный механизм работы SIEM сводится к довольно простому алгоритму:

• Сбор событий с разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
• Приведение разнородных данных к общему виду.
• Анализ данных и выявление угроз.
• Фиксация инцидентов и оповещение в реальном времени.

Цели и задачи системы

Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

• «пропустить» инцидент;
• не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
• не восстановить данные.

«СёрчИнформ SIEM» позволяет осуществлять централизованный сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов real-time

«СёрчИнформ SIEM» не просто унифицирует события, но и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

«СёрчИнформ SIEM» осуществляет мониторинг событий в реальном времени, что позволяет обрабатывать их сразу при поступлении в систему. Таким образом решение выполняет свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты.

«СёрчИнформ SIEM» выявит:

• Подозрительную активность пользователей.
• Вирусные эпидемии или отдельные вирусные заражения.
• Попытки несанкционированного доступа к конфиденциальной информации.
• Факты превышения полномочий, мошенничество.
• Ошибки и сбои в работе информационных систем.
• Махинации с почтой, базами данных и прочими корпоративными IT-ресурсами.

«СёрчИнформ SIEM» – уникальная SIEM-система, которая не идет по стандартному пути, проложенному другими вендорами. Создавая ПО, мы учитывали опыт и задачи компаний из всех областей бизнеса и создали систему, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.