СёрчИнформ SIEM

Для чего нужна SIEM

Сбор событий из различныхисточников
SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.

Нормализация и обогащение событий
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией.

Корреляция и применение правил
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.

Оповещения и инцидент-менеджмент
Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования.

Кому подойдет?

Банки и компании финансового сектора
Мониторинг распределенной сетевой инфраструктуры со значительным числом пользователей и устройств, логирование событий и выявление инцидентов.

Мобильные операторы и телеком-компании
Мониторинг работоспособности собственной структуры. Соблюдение внутренних политик и стандартизация логов тысяч разнообразных источников.

Предприятия, уже использующие DLP, IDS, IDM
Интеграция дает ощутимый рост функционала уже существующих продуктов и SIEM, позволяя максимизировать эффект каждого элемента.

Компании из сектора малого и среднего бизнеса
Мониторинг работоспособности сетевой инфраструктуры и соблюдения пользовательских политик с учетом масштабирования финансовых нагрузок.

Крупные предприятия с 1000+ компьютеров и устройств
Анализ терабайтов ежедневных событий и фокус на инцидентах, которые требуют незамедлительной реакции и вмешательства.

Географически распределенные предприятия
Организация эффективной работы и сохранения работоспособности распределенной сетевой инфраструктуры и ее контроль из единого центра.

Архитектура и алгоритм работы

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

• ESEventConnector – вычитка логов сервера Microsoft SQL.SQLAuditConnector – вычитка логов сервера Microsoft SQL.
• KasperskyConnector – вычитка записей БД Kaspersky Anti-Virus.
• ExchangeConnector – вычитка логов почтового сервера Exchange.
• RusGuardConnector – подключение к базам данных СКУД RusGuard и чтение их записей.
• SyslogConnector – сбор событий Syslog.
• 1C TechlogConnector – осуществляет чтение событий технологического журнала 1С.
• OracleConnector – вычитка таблиц БД и логов Oracle Listener.
• PostgreSQLConnector – вычитка и анализ протоколов PostgreSQL из журнала Windows «Приложения».
• 1CConnector – вычитка журналов 1C.
• DominoConnector – вычитка логов IBM Domino.
• DrWebConnector осуществляет подключение к базам данных антивируса Dr.Web и чтение их записей.
• DHCPConnector – обеспечивает чтение логов на DHCP-сервере посредством выполнения на нем PowerShell скриптов.
• NetFlowConnector – получает события о сетевом трафике по протоколу NetFlow от различных аппаратных устройств, поддерживающих данный протокол.
• SNMPTrapConnector – сбор trap-событий о состоянии различных сетевых устройств и ПО, поддерживающих протокол SNMP.
• VMwareConnector – сбор событий VMware ESXi.
• CiscoConnector – сбор событий сетевых устройств Cisco.
• SIDLPConnector – сбор событий приложений «СёрчИнформ КИБ».
• FortigateConnector – сбор событий устройства комплексной сетевой безопасности FortiGate.
• LinuxConnector – сбор событий ОС Linux.
• RedCheckConnector – подключение к базам данных сканера безопасности RedCheck и чтение их записей.
• SymantecConnector – подключение к базе данных Symantec EPM и чтение ее записей.
• PaloAltoConnector – сбор событий межсетевого экрана Palo Alto.
• CheckPointConnector – сбор событий межсетевого экрана Check Point.
• McafeeConnector – осуществляет подключение к базе данных McAfee и чтение ее записей.
• ADMonitoringConnector – отслеживает изменения атрибутов и объектов Active Directory.
• ESETConnector – обеспечивает получение событий антивирусного программного обеспечения ESET.
• GPOConnector – подключение и сбор данных из журналов групповых политик, отслеживает изменения в настройках объектов групповых политик.