Для чего нужна SIEM
Сбор событий из различныхисточниковSIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.
Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.
Кому подойдет?
Банки и компании финансового сектораМониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.
Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.
Предприятия, уже использующие DLP, IDS, IDM
Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.
Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.
Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.
Географически распределенные предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра.
Архитектура и алгоритм работы
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:- ESEventConnector – вычитка логов сервера Microsoft SQL.SQLAuditConnector – вычитка логов сервера Microsoft SQL.
- KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.
- ExchangeConnector – вычитка логов почтового сервера Exchange.
- RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.
- SyslogConnector – сбор событий Syslog.
- 1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.
- OracleConnector – вычитка таблиц БД и логов Oracle Listener.
- PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
- 1CConnector – вычитка журналов 1C.
- DominoConnector – вычитка логов IBM Domino.
- DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
- DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.
- NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.
- SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP.
- VMwareConnector – сбор событий VMware ESXi.
- CiscoConnector – сбор событий сетевых устройств Cisco.
- SIDLPConnector – сбор событий приложений «СёрчИнформ КИБ».
- FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
- LinuxConnector – сбор событий ОС Linux.
- RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.
- SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
- PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
- CheckPointConnector – сбор событий межсетевого экрана Check Point.
- McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
- ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.
- ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.
- GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.