СёрчИнформ SIEM

Главная — Наши продукты — СёрчИнформ SIEM

Тестируйте 30 дней бесплатно ОФОРМИТЬ ЗАЯВКУ

Для чего нужна SIEM

Сбор событий из различных
источников

SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

Нормализация и обогащение
событий

Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

Корреляция и применение
правил

Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

Оповещения и
инцидент-менеджмент

Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

Оформить заявку

ЗАПРОСИТЬ СТОИМОСТЬ

Кому подойдет?

Банки и компании
финансового сектора

Мониторинг распределенной
сетевой инфраструктуры со
значительным числом
пользователей и устройств,
логирование событий и
выявление инцидентов.

Мобильные операторы
и телеком-компании

Мониторинг работоспособности
собственной структуры.
Соблюдение внутренних политик
и стандартизация логов тысяч
разнообразных источников.

Предприятия, уже
использующие DLP, IDS,
IDM

Интеграция дает ощутимый рост
функционала уже существующих
продуктов и SIEM, позволяя
максимизировать эффект
каждого элемента.

Компании из сектора
малого и среднего
бизнеса

Мониторинг работоспособности
сетевой инфраструктуры и
соблюдения пользовательских
политик с учетом
масштабирования финансовых
нагрузок.

Крупные предприятия с
1000+ компьютеров и
устройств

Анализ терабайтов ежедневных
событий и фокус на инцидентах,
которые требуют
незамедлительной реакции и
вмешательства.

Географически
распределенные
предприятия

Организация эффективной
работы и сохранения
работоспособности
распределенной сетевой
инфраструктуры и ее контроль
из единого центра.

Архитектура и алгоритм работы

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

AzureConnector – вычитка логов серверов Microsoft Azure SQL.

ESEventConnector – вычитка логов сервера Microsoft SQL.

SQLAuditConnector – вычитка логов сервера Microsoft SQL.

KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.

ExchangeConnector – вычитка логов почтового сервера
Exchange.

RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.

SyslogConnector – сбор событий Syslog.

1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.

OracleConnector – вычитка таблиц БД и логов Oracle Listener.

PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».

1CConnector – вычитка журналов 1C.

DominoConnector – вычитка логов IBM Domino.

DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.

DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.

IISConnector – сбор событий службы Microsoft IIS.

NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.

SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP.

VipNetConnector – сбор событий из VipNet.

VMwareConnector – сбор событий VMware ESXi.

CiscoConnector – сбор событий сетевых устройств Cisco.

SIDLPConnector – сбор событий приложений
«СёрчИнформ КИБ».

FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.

LinuxConnector – сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.

MongoDBConnector – вычитка логов СУБД Mongo DB.

RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.

SymantecConnector – подключение к базе данных
Symantec EPM и чтение ее записей.

PaloAltoConnector – сбор событий межсетевого экрана
Palo Alto.

CheckPointConnector – сбор событий межсетевого экрана
Check Point.

McafeeConnector – осуществляет подключение к базе данных
McAfee и чтение ее записей.

ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.

ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.

GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.

UserGateConnector – получает события от межсетевых экранов UserGate.

Интерфейс и отчёты

Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, мы встроили готовые политики безопасности, упростили процесс подключения источников и сделали интуитивно понятный интерфейс.

Журнал инцидентов по выбранному правилу СёрчИнформ SIEM

Позволяет просматривать инциденты за нужный промежуток времени.

Экран настройки отображения отчетов СёрчИнформ SIEM

Позволяет настроить форму отображения отчетов в SIEM и схему управления работой с ними

Экран отображения инцидентов СёрчИнформ SIEM

Визуализирует правила в виде плиток. В верхнем левом углу плитки отображается общее число инцидентов по правилу, в верхнем правом — количество непросмотренных из них. Данные обновляются автоматически каждые 30 минут либо вручную по нажатию кнопки

Интерпретирует структуру сети, компьютеров и пользователей, в привязке к серверам с установленными коннекторами SIEM

Позволяет просматривать инциденты за нужный промежуток времени.

Позволяет настроить форму отображения отчетов в SIEM и схему управления работой с ними

Техническое описание

Минимальные системные
требования к серверу
SIEM*

Базы данных

Язык интерфейса

Лицензирование

Коннекторы ⁱ

Правила корреляции

Интерактивные отчеты

Экспорт готовых отчетов

от 6 часов до 8 дней

Внедрение, запуск и администрирование
осуществляется силами команды «СёрчИнформ» и
IT-службы заказчика и не требует привлечения
сотрудников других отделов.

Самый сложный момент внедрения SIEM – подключение
источников событий.

После окончания внедрения оказываем
обязательную техническую поддержку.

ПО регулярно обновляется в рамках технической
поддержки – функционал инструмента постоянно
расширяется.

Этапы внедрения

От 2 до 4 недель

Выполняется силами заказчика

Обследование инфраструктуры и инвентаризация

Проводится подробное обследование инфраструктуры сети, имеющихся
активов оборудования и программного обеспечения, составляются
карты сети и формируются списки активных пользователей. Заполняется
анкета «СёрчИнформ».

От 2 часов до 2 дней

Выполняется командой «СёрчИнформ»

Формирование рекомендаций и утверждение ТЗ

На основании заполненной анкеты специалисты «СёрчИнформ» анализируют
корпоративные активы клиента – и составляют рекомендации по подготовке к
внедрению продукта.

От 1 часа до 2 дней

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Установка и базовая настройка SIEM

Команда «СёрчИнформ» инсталлирует продукт в течение указанного периода.

От 2 часов до 3 дней

Выполняется IT-службой заказчика
при поддержке команды «СёрчИнформ»

Настройка и подключение источников событий

Оборудование и программные источники данных, которые будут интегрироваться с SIEM, настраиваются для передачи данных и подключаются к решению.

От 1 часа до 1 дня

Выполняется IT-службой заказчика
при поддержке команды «СёрчИнформ»

Донастройка решения

По желанию клиента специалист отдела внедрения помогает настроить
оповещения, добавить новые или скорректировать существующие правила.

От 2 до 4 недель

Выполняется силами заказчика

Обследование инфраструктуры и инвентаризация

От 2 часов до 2 дней

Выполняется командой «СёрчИнформ»

Формирование рекомендаций и утверждение ТЗ

От 1 часа до 2 дней

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Установка и базовая настройка SIEM

Команда «СёрчИнформ» инсталлирует продукт в течении указанного периода.

От 2 часов до 3 дней

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Настройка и подключение источников событий

От 1 часа до 1 дня

Выполняется командой «СёрчИнформ» при
поддержке IT-службы заказчика

Донастройка решения

Примеры предустановленных правил корреляции

Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых правил корреляции учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.

Правила AD

Изменение состава критичных групп пользователей
Временная выдача прав доступа AD
Подбор паролей

Правила 1C

Изменение проведенного документа
Вход в нерабочие часы
Вход под отсутствующим пользователем

Правила Kaspersky
Anti-Virus

Изменение в составе административной группы управления
Самозащита антивируса отключена
Выявлена вирусная эпидемия

Правила VMware

Критический перегрев оборудования
Неудачные попытки входа
Удаление снапшотов

Правила Syslog

События ядра операционной системы
Критичные предупреждения журналирования
События почтовых систем

Правила MS SQL

Временное создание учетных данных MS SQL
Статистика изменения прав доступа к MS SQL
Задание пароля учетной записи SQL администратором БД

СМОТРЕТЬ ВСЕ КОННЕКТОРЫ И ПРАВИЛА

Преимущества «СёрчИнформ SIEM»

Легкое внедрение

Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».

Простота использования

В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.

Подходит среднему и малому
бизнесу

Невысокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.

Учитывает опыт тысяч клиентов

Решения «СёрчИнформ» используют более 4 000 клиентов в 20 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».

Симбиоз SIEM и DLP

Тандем систем «СёрчИнформ КИБ» и «СёрчИнформ
SIEM» многократно повышает уровень ИБ компании.
SIEM выявляет аномальное поведение и способ
получения доступа к информации. «СёрчИнформ КИБ» оценивает
содержимое коммуникаций. Интеграция этих двух
продуктов позволяет каждому из них работать на
порядок эффективнее.

Сопровождение клиента

Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.

Российский продукт

«СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.

Лицензирование

Осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP-адресу любой сетевой актив.

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации

Срок действия: бессрочно

Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации

Срок действия: бессрочно

Сертификат ФСТЭК России № 4424 по требованиям безопасности информации № РОСС RU.0001.01БИ00 на соответствие «СёрчИнформ SIEM» 4 уровню доверия и технических условий

Срок действия: 28.06.2026

Лицензия №Л050-00105-00/00552785 (16415К) Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на осуществление разработки и производства средств защиты конфиденциальной информации

Срок действия: бессрочно

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации

Срок действия: бессрочно

Приказа ФСТЭК России от 14 марта 2014 г. №31
Приказа ФСТЭК России от 11 февраля 2013 г. №17
Приказа ФСТЭК России от 18 февраля 2013 г. №21

Приказа ФСТЭК России от 15 февраля 2017 г. №27
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Продукты «СёрчИнформ» подходят компаниям из разных отраслей – от банковского дела до машиностроения. Обратная связь с клиентами позволяет максимально преднастраивать решения, чтобы они изначально учитывали специфику работы в разных сегментах.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

Оформить заявку

ЗАПРОСИТЬ СТОИМОСТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Даю согласие на обработку персональных данных

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Даю согласие на получение рассылки рекламно-информационных материалов

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.

СёрчИнформ SIEM

«СёрчИнформ» уже защищает