IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ОС сервера и ПК, базы данных, сетевые экраны, антивирусы, приложения, Active Directory, Exchange. Любые события в этих системах «логируются» (протоколируются). Однако без автоматизированного инструмента отследить, проанализировать все события и оперативно отреагировать на них не представляется возможным.
«СёрчИнформ SIEM» решает эту проблему: приложение собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Сложный механизм работы SIEM сводится к довольно простому алгоритму:
Источниками данных для «СёрчИнформ SIEM» являются:
В разработке и тестировании:
Логика работы: инциденты
Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы при помощи комплексного анализа всех данных.
На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.
Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. «СёрчИнформ SIEM» стабильно и непрерывно контролирует корпоративную инфраструктуру.
Для контроллеров домена ACTIVE DIRECTORY
Для обращения к файловым ресурсам
Для MS SQL
Для антивируса KASPERSKY
Для EXCHANGE
По активности пользователей
Для SYSLOG
Продукт «СёрчИнформ SIEM» обошел проблемы большинства современных SIEM-систем: он фактически предоставляет результаты «из коробки», не требует привлечения высококвалифицированных специалистов для написания правил реагирования или корректировки правил корреляции, а также грамотно и без сложностей интегрируется с существующей IT-инфраструктурой.
Сбор и обработка событий от различных источников
Отсутствие контроля всех событий в инфраструктуре чревато рисками:
«СёрчИнформ SIEM» позволяет осуществлять централизованный сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.
Анализ событий и разбор инцидентов real-time
«СёрчИнформ SIEM» не просто унифицирует события, но и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.
Корреляция и обработка по правилам
По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.
Автоматическое оповещение и инцидент-менеджмент
«СёрчИнформ SIEM» осуществляет мониторинг событий в реальном времени, что позволяет обрабатывать их сразу при поступлении в систему. Таким образом решение выполняет свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты.
«СёрчИнформ SIEM» выявит:
«СёрчИнформ SIEM» – уникальная SIEM-система, которая не идет по стандартному пути, проложенному другими вендорами. Создавая ПО, мы учитывали опыт и задачи компаний из всех областей бизнеса и создали систему, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.
A | B | |
---|---|---|
1 | ИТ ЭНИГМА | |
2 | Полный прайс-лист | |
3 | со скидками от 19.08.2024 | |
4 | ||
5 | СЁРЧИНФОРМ SIEM | |
6 |