О продукте:

О продукте

SearchInform Event Manager (SIEM) – это продукт, разрабатываемый как отдельное направление специализированного ПО для сферы информационной безопасности.

Сложный механизм работы SIEM сводится к довольно простому алгоритму:

  • Сбор событий с различных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
  • Приведение разнородных данных к общему виду.
  • Анализ данных и выявление угроз.
  • Фиксация инцидентов и оповещение в реальном времени.

SearchInform Event Manager собирает, анализирует и коррелирует данные с агентами DLP или с перехваченным сетевым траффиком. Связка SIEM+DLP позволяет детализировать нарушения в мельчайших подробностях.

SIEM-система включает в себя набор предустановленных политик, позволяющих максимально полно контролировать работу компании.

Что контролирует?

Источниками данных для SearchInform Event Manager являются:

  • Контроллеры домена Active Direcrory
  • Обращения к файловым ресурсам
  • Антивирусы
  • СУБД (MS SQL, Oracle и т.д.)

В разработке и тестировании:

  • Почтовые сервера Exchange
  • Журналы EventLog
  • Агенты контроля рабочих станций
  • Траффик, перехваченный с сетевого оборудования или Proxy-серверов
  • Почта, перехваченная через интеграцию с почтовыми серверами
  • Сетевое оборудование
  • Linux и Unix сервера и рабочие станции
  • Среды виртуализации и терминальные сервера.

Цели и задачи системы

Сбор и обработка событий от различных источников

Количество источников данных сегодня так велико, что контролировать все события в инфраструктуре «вручную» просто невозможно. Отсюда появляются риски:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий и т.д.)
  • не восстановить данные.

И SIEM – как агрегатор информации из разных устройств – решает эту проблему. Система приводит данные к единому виду и становится защищённым хранилищем, где факты о случившемся не сможет удалить даже администратор.

Анализ событий и разбор инцидентов real-time

SIEM не просто унифицирует события, но и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, SIEM работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

Позволяют SIEM выполнять свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты. Процесс обнаружения этих инцидентов система автоматизирует и полностью берет на себя.

Логика работы: инциденты

Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы помощи комплексного анализа всех данных.

На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.

Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. SIEM стабильно и непрерывно контролирует корпоративную инфраструктуру.

Преимущества

  • Решение учитывает реальный опыт тысяч клиентов

SearchInform поставляет заказчику готовые сценарии, которые способны эффективно работать и давать результаты сразу после установки системы. Система проектировалась исходя из анализа запросов крупнейших клиентов компании из разных отраслей.

  • Решение готово к работе “из коробки”

В решении встроены универсальные политики безопасности. Решение быстро интегрируется и требует минимальной настройки.

  • Решение доступно даже для небольших компаний

Ценовая политика и стоимость обслуживания SearchInform Event Manager в лучшую сторону отличаются от других подобных решений. Кроме того, ПО SearchInform имеет низкие требования к аппаратно-программным средствам.