«СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) - российская система управления событиями информационной безопасности SearchInform

Главная — Наши продукты — «СёрчИнформ Мониторинг безопасности»

Тестируйте 30 дней бесплатно ОФОРМИТЬ ЗАЯВКУ

Для чего нужна cистема управления инцидентами информационной безопасности (SIEM)

Сбор событий из различных
источников

Система осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

Нормализация и обогащение
событий

Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

Корреляция и применение
правил

Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

Оповещения и
управления инцидентами

Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

Закажите бесплатный 30-дневный пилотный период

Полнофункциональное ПО без ограничений по
пользователям и функциональности

Оформить заявку

ЗАПРОСИТЬ СТОИМОСТЬ

Кому подойдет?

Банки и компании
финансового сектора

Мониторинг распределенной
сетевой инфраструктуры со
значительным числом
пользователей и устройств,
логирование событий и
выявление инцидентов.

Мобильные операторы
и телеком-компании

Мониторинг работоспособности
собственной структуры.
Соблюдение внутренних политик
и стандартизация логов тысяч
разнообразных источников.

Предприятия, уже
использующие системы защиты от утечек информации (DLP), обнаружения вторжений (IDS),
управления правами доступа и учетными записями (IDM)

Интеграция дает ощутимый рост
функционала уже существующих
продуктов и системы мониторинга событий ИБ, позволяя
максимизировать эффект
каждого элемента.

Компании из сектора
малого и среднего
бизнеса

Мониторинг работоспособности
сетевой инфраструктуры и
соблюдения пользовательских
политик с учетом
масштабирования финансовых
нагрузок.

Крупные предприятия с
1000+ компьютеров и
устройств

Анализ терабайтов ежедневных
событий и фокус на инцидентах,
которые требуют
незамедлительной реакции и
вмешательства.

Географически
распределенные
предприятия

Организация эффективной
работы и сохранения
работоспособности
распределенной сетевой
инфраструктуры и ее контроль
из единого центра.

Архитектура и алгоритм работы

Сервер системы отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер программы использует компонент «СёрчИнформ» «Центр администрирования» (SearchInform DataCenter). В свою очередь Центр администрирования получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера системы, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

Контроллер Microsoft Azure (AzureConnector) – вычитка логов серверов Microsoft Azure SQL.

ESEventConnector – вычитка логов сервера Microsoft SQL.

SQLAuditConnector – вычитка логов сервера Microsoft SQL.

Контроллер Kaspersky (KasperskyConnector) – вычитка записей БД Kaspersky Anti-Virus.

Контроллер Microsoft Exchange (ExchangeConnector) – вычитка логов почтового сервера Exchange.

Контроллер RusGuard (RusGuardConnector) – подключение к базам данных СКУД RusGuard и чтение их записей.

Контроллер Syslog (SyslogConnector) – сбор событий Syslog.

Контроллер технических журналов 1С (1СTechlogConnector) – осуществляет чтение событий технологического журнала 1С.

Контроллер Oracle (OracleConnector) – вычитка таблиц БД и логов Oracle Listener.

Контроллер PostgreSQL (PostgreSQLConnector) – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».

Контроллер 1С (1CConnector) – вычитка журналов 1C.

Контроллер Domino (DominoConnector) – вычитка логов IBM Domino.

Контроллер Dr.Web (DrWebConnector) осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.

Контроллер протокола динамической настройки узлов (DHCP) (DHCPConnector) – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.

Контроллер Microsoft IIS (IISConnector) – сбор событий службы Microsoft IIS.

Контроллер протокола NetFlow (NetFlowConnector) – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.

Контроллер протокола сетевого управления (SNMP) (SNMPTrapConector) – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP.

Контроллер VipNet (VipNetConnector) – сбор событий из VipNet.

Контроллер Vmware (VMwareConnector) – сбор событий VMware ESXi.

Контроллер Cisco (CiscoConnector) – сбор событий сетевых устройств Cisco.

Контроллер событий «СёрчИнформ КИБ» (SIDLPConnector) – сбор событий приложений
«СёрчИнформ КИБ».

Контроллер Fortigate (FortigateConnector) – сбор событий устройства комплексной сетевой безопасности FortiGate.

Контроллер Linux (LinuxConnector) – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.

Контроллер MongoDB (MongoDBConnector) – вычитка логов СУБД Mongo DB.

Контроллер RedCheck (RedCheckConnector) – подключение к базам данных сканера безопасности RedCheck и чтение их записей.

Контроллер Symantec (SymantecConnector) – подключение к базе данных
Symantec EPM и чтение ее записей.

Контроллер Palo Alto (PaloAltoConnector) – сбор событий межсетевого экрана
Palo Alto.

Контроллер CheckPoint (CheckPointConnector) – сбор событий межсетевого экрана
Check Point.

Контроллер McAfee (McafeeConnector) – осуществляет подключение к базе данных
McAfee и чтение ее записей.

Контроллер Active Directory (ADMonitoringConnector) – отслеживает изменения атрибутов и объектов Active Directory.

Контроллер ESET (ESETConnector) – обеспечивает получение событий антивирусного программного обеспечения ESET.

Контроллер групповых политик (GPOConnector) – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.

Контроллер Usergate (UserGateConnector) – получает события от межсетевых экранов UserGate.

Интерфейс и отчёты

Настраивать «СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM), работать с ней и оперативно реагировать на инциденты может любой ИБ- или ИT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс.

Показывает самую важную информацию: статистику инцидентов, трафик событий по коннекторам или пользователям и т.д. События отражаются в реальном времени. Каждый виджет можно настроить «под себя».

Техническое описание

Минимальные системные
требования к серверу
системы управления инцидентами ИБ (SIEM)*

Базы данных

Язык интерфейса

Лицензирование

Коннекторы ⁱ

Правила корреляции

Интерактивные отчеты

Экспорт готовых отчетов

от 6 часов до 8 дней

Внедрение, запуск и администрирование
осуществляется силами команды «СёрчИнформ» и
ИT-службы заказчика и не требует привлечения
сотрудников других отделов.

Самый сложный момент внедрения системы – подключение
источников событий.

После окончания внедрения оказываем
обязательную техническую поддержку.

ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.

Этапы внедрения

От 2 до 4 недель

Выполняется силами заказчика

Обследование инфраструктуры и инвентаризация

Проводится подробное обследование инфраструктуры сети, имеющихся
активов оборудования и программного обеспечения, составляются
карты сети и формируются списки активных пользователей. Заполняется
анкета «СёрчИнформ».

От 2 часов до 2 дней

Выполняется командой «СёрчИнформ»

Формирование рекомендаций и утверждение ТЗ

На основании заполненной анкеты специалисты «СёрчИнформ» анализируют
корпоративные активы клиента – и составляют рекомендации по подготовке к
внедрению продукта.

От 1 часа до 2 дней

Выполняется командой «СёрчИнформ» при
поддержке ИT-службы заказчика

Установка и базовая настройка программы

Команда «СёрчИнформ» инсталлирует продукт в течение указанного периода.

От 2 часов до 3 дней

Выполняется ИT-службой заказчика
при поддержке команды «СёрчИнформ»

Настройка и подключение источников событий

Оборудование и программные источники данных, которые будут интегрироваться с системой, настраиваются для передачи данных и подключаются к решению.

От 1 часа до 1 дня

Выполняется ИT-службой заказчика
при поддержке команды «СёрчИнформ»

Донастройка решения

По желанию клиента специалист отдела внедрения помогает настроить
оповещения, добавить новые или скорректировать существующие правила.

От 2 до 4 недель

Выполняется силами заказчика

Обследование инфраструктуры и инвентаризация

От 2 часов до 2 дней

Выполняется командой «СёрчИнформ»

Формирование рекомендаций и утверждение ТЗ

От 1 часа до 2 дней

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Установка и базовая настройка SIEM

Команда «СёрчИнформ» инсталлирует продукт в течении указанного периода.

От 2 часов до 3 дней

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Настройка и подключение источников событий

Оборудование и программные источники данных, которые будут интегрироваться с SIEM, настраиваются для передачи данных и подключаются к решению.

От 1 часа до 1 дня

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Донастройка решения

Примеры предустановленных правил корреляции

Одно из ключевых преимуществ программы — работа фактически «из коробки». Система поставляется с набором готовых правил корреляции учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.

Правила Active Directory (AD)

Изменение состава критичных групп пользователей
Временная выдача прав доступа Active Directory
Подбор паролей

Правила 1C

Изменение проведенного документа
Вход в нерабочие часы
Вход под отсутствующим пользователем

Правила Kaspersky
Anti-Virus

Изменение в составе административной группы управления
Самозащита антивируса отключена
Выявлена вирусная эпидемия

Правила VMware

Критический перегрев оборудования
Неудачные попытки входа
Удаление снимков состояния (снапшотов)

Правила Syslog

События ядра операционной системы
Критичные предупреждения журналирования
События почтовых систем

Правила MS SQL

Временное создание учетных данных MS SQL
Статистика изменения прав доступа к MS SQL
Задание пароля учетной записи SQL администратором БД

СМОТРЕТЬ ВСЕ КОННЕКТОРЫ И ПРАВИЛА

Преимущества «СёрчИнформ Мониторинг безопасности»

Легкое внедрение

Система не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

Простота использования

В отличие от большинства аналогов «СёрчИнформ Мониторинг безопасности» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

Подходит среднему и малому
бизнесу

Невысокие программно-аппаратные требования системы и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.

Учитывает опыт тысяч клиентов

Решения «СёрчИнформ» используют более 4 000 клиентов в 20 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ Мониторинг безопасности».

Симбиоз систем управления инцидентами ИБ (SIEM) и защиты от утечек информации (DLP)

Тандем систем «СёрчИнформ КИБ» и «СёрчИнформ
Мониторинг безопасности» многократно повышает уровень ИБ компании.
Система мониторинга событий ИБ выявляет аномальное поведение и способ
получения доступа к информации. «СёрчИнформ КИБ» оценивает
содержимое коммуникаций. Интеграция этих двух
продуктов позволяет каждому из них работать на
порядок эффективнее.

Сопровождение клиента

Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с системой, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

Российский продукт

«СёрчИнформ Мониторинг безопасности» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

Лицензирование

Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или сетевому адресу (IP-адресу) любой сетевой актив.

Сертификат ФСТЭК России № 4424 по требованиям безопасности информации № РОСС RU.0001.01БИ00 на соответствие «СёрчИнформ SIEM» 4 уровню доверия и технических условий

Срок действия: 28.06.2026

Приказа ФСТЭК России от 14 марта 2014 г. №31
Приказа ФСТЭК России от 11 февраля 2013 г. №17
Приказа ФСТЭК России от 18 февраля 2013 г. №21

Приказа ФСТЭК России от 15 февраля 2017 г. №27
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Продукты «СёрчИнформ» подходят компаниям из разных отраслей – от банковского дела до машиностроения. Обратная связь с клиентами позволяет максимально преднастраивать решения, чтобы они изначально учитывали специфику работы в разных сегментах.

Закажите бесплатный 30-дневный пилотный период

Полнофункциональное ПО без ограничений по
пользователям и функциональности

Оформить заявку

ЗАПРОСИТЬ СТОИМОСТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

✖

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой в отношении обработки ПДн (https://searchinform.ru/privacy/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

✖

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.

«СёрчИнформ Мониторинг безопасности»

«СёрчИнформ» уже защищает

Обязательные cookie-файлы

Функциональные cookie-файлы

Аналитические cookie-файлы

Обязательные
cookie-файлы

Функциональные
cookie-файлы

Аналитические
cookie-файлы