СёрчИформ SIEM

  • Обработка потока событий
  • Выявление угроз
  • Расследование ИБ-инцидентов

СёрчИформ SIEM — осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса. Приводит события к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией. Анализирует события и формирование инцидентов в соответствии с правилами. Автоматически извещает ответственных лиц об инцидентах и предоставляет информацию, необходимую для проведения расследования.

КОМУ ПОДОЙДЕТ SIEM

  • Банки и компании финансового сектора. Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
  • Мобильные операторы и телеком-компании. Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
  • Предприятия, уже использующие DLP, IDS, IDM. Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
  • Компании из сектора малого и среднего бизнеса. Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
  • Крупные предприятия с 1000+ компьютеров и устройств. Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
  • Географически распределенные предприятия. Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра

АРХИТЕКТУРА И АЛГОРИТМ РАБОТЫ

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

СёрчИформ SIEM
Алгоритм работы СёрчИформ SIEM
  • WinEventConnector – вычитка и анализ журнала Windows
  • Event Log, контроллеров доменов и серверов Windows, вычитка и анализ по протоколу LDAP информации об учётных записях.
  • ESEventConnector – вычитка БД FileController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SqlAuditConnector – вычитка логов сервера Microsoft SQL.
  • KavEventConnector – вычитка записей БД Kaspersky Anti-Virus.
  • ExchangeConnector – вычитка логов почтового сервера Exchange.
  • ProgramConnector – сбор данных об активности пользователей через подключение к БД ProgramController (используется сервер «КИБ СёрчИнформ», см. схему выше).
  • SyslogConnector – сбор событий Syslog.
  • DeviceConnector – чтение БД DeviceController (информация о файловых операциях с внешними устройствами).
  • OracleConnector – вычитка таблиц БД и логов Oracle Listener.
  • VMwareConnector – сбор событий VMware ESXi.
  • CiscoConnector – сбор событий сетевых устройств Cisco.
  • SIDLPConnector – сбор событий приложений «КИБ СёрчИнформ».
  • FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
  • LinuxConnector – сбор событий ОС Linux.
  • CWAConnector – чтение событий журналов 1C и контрольно-весовых аппаратов.
  • SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
  • PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
  • CheckPointConnector – сбор событий межсетевого экрана Check Point.
  • McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.

ПРЕИМУЩЕСТВА «СЁРЧИНФОРМ SIEM»

  • Легкое внедрение. Система «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции. Решение способно детектировать ряд угроз и инцидентов «из коробки».
  • Простота использования. В отличие от большинства аналогов «СёрчИнформ SIEM» интуитивно понятна; для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
  • Подходит среднему и малому бизнесу. Не высокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение в даже в предприятиях малого и среднего бизнеса.
  • Учитывает опыт тысяч клиентов. Решения «СёрчИнформ» используют более 2 000 клиентов в 17 странах. Мы изучили опыт крупнейших из них, выявили общие потребности и лучшие практики — и внедрили последние в «СёрчИнформ SIEM».
  • Симбиоз SIEM и DLP. Тандем систем «КИБ СёрчИнформ» и «СёрчИнформ SIEM» многократно повышает уровень ИБ компании. SIEM выявляет аномальное поведение и способ получения доступа к информации. КИБ оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.
  • Сопровождение клиента. Установку ПО и решение технических проблем возьмет на себя инженер техподдержки. Специалист отдела внедрения обучит работе с SIEM, поможет настроить правила, будет держать в курсе обновлений и консультировать. Административные и другие вопросы решит персональный менеджер.
  • Российский продукт. «СёрчИнформ SIEM» — продукт российского разработчика. Система удовлетворяет требованиям закона об импортозамещении.
  • Лицензирование. Осуществляется не по объему трафика, а по количеству пользователей/компьютеров/устройств. Это значит, что клиент может легко просчитать стоимость приобретения и владения ПО.
заказать обратный звонок



НАШИ КОНТАКТЫ

Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25

Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1

телефон8-800-77-55-929

время работыпн-пт, с 9:00 до 18:00

электронная почтаib@radiuscompany.ru

Оставьте заявку



НАШИ КОНТАКТЫ

Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25

Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1

телефон8-800-77-55-929

время работыпн-пт, с 9:00 до 18:00

электронная почтаib@radiuscompany.ru

Ваше сообщение успешно отправлено.

Мы с Вами свяжемся в ближайшее время!