СёрчИформ SIEM — осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса. Приводит события к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией. Анализирует события и формирование инцидентов в соответствии с правилами. Автоматически извещает ответственных лиц об инцидентах и предоставляет информацию, необходимую для проведения расследования.
КОМУ ПОДОЙДЕТ SIEM
- Банки и компании финансового сектора. Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
- Мобильные операторы и телеком-компании. Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
- Предприятия, уже использующие DLP, IDS, IDM. Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
- Компании из сектора малого и среднего бизнеса. Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
- Крупные предприятия с 1000+ компьютеров и устройств. Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
- Географически распределенные предприятия. Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра
АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:
- WinEventConnector – вычитка и анализ журнала Windows
- Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
- ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SqlAuditConnector – вычитка логов сервера Microsoft SQL.
- KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
- ExchangeConnector – вычитка логов почтового сервера Exchange.
- ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
- SyslogConnector – сбор событий Syslog.
- DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
- OracleConnector – вычитка таблиц БД и логов Oracle Listener.
- VMwareConnector – сбор событий VMware ESXi.
- CiscoConnector – сбор событий сетевых устройств Cisco.
- SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
- LinuxConnector – сбор событий ОС Linux.
- CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
- SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
- PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
- CheckPointConnector – сбор событий межсетевого экрана Check Point.
- McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»
- Легкое внедрение. Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
- Простота использования. В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
- Подходит среднему и малому бизнесу. Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.
- Учитывает опыт тысяч клиентов. Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
- Симбиоз SIEM и DLP. Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
- Сопровождение клиента. Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
- Российский продукт. «СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
- Лицензирование. Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.