СерчИнформ SIEM – приложение, предназначенное для сбора и автоматического анализа событий различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Источниками событий для СерчИнформ SIEM могут являться журналы Active Directory, Windows Event Log, базы данных, антивирусы, почтовые сервера, сетевые устройства, приложения и др.

Система позволяет работать не только со стандартными событиями (вход в систему, удаление учётной записи, назначение прав доступа и др.), но и по настроенным правилам автоматически выявлять потенциально опасные цепочки таких событий. Правила формирования взаимосвязи между событиями предустановлены в систему и обладают возможностью гибкой настройки.

Схема работы

Коннекторы SIEM в реальном времени осуществляют сбор данных и их анализ:

  • WinEventConnector отвечает за вычитку и анализ журнала Windows Event Log контроллеров доменов и серверов Windows, а также по протоколу LDAP производит вычитку и анализ информации об учётных записях;
  • ESEventConnector осуществляет вычитку базы данных FileController, которая содержит файловую активность пользователей;
  • SqlAuditConnector обеспечивает чтение логов сервера Microsoft SQL;
  • KavEventConnector осуществляет подключение к базе данных Kaspersky Security Center и чтение ее записей;
  • ExchangeConnector обеспечивает чтение логов почтового сервера Exchange;
  • ProgramConnector осуществляет сбор информации об активности пользователей, подключаясь к базам данных ProgramController;
  • DeviceConnector обеспечивает чтение базы данных DeviceController, которая содержит информацию о файлах, копируемых на подключаемые внешние устройства и запускаемых с них;
  • SyslogConnector осуществляет сбор событий Syslog;
  • OracleConnector обеспечивает чтение таблиц баз данных и логов OracleListener;
  • VMwareConnector обеспечивает сбор событий VMware ESXi;
  • CiscoConnector обеспечивает сбор событий сетевых устройств Cisco;
  • SIDLPConnector обеспечивает сбор событий приложений КИБ;
  • FortigateConnector обеспечивает сбор событий устройства комплексной сетевой
  • безопасности FortiGate;
  • LinuxConnector осуществляет сбор событий ОС Linux, веб-сервера Apache, почтового
  • сервера Postfix и FTP-сервера Very Secure FTP Daemon;
  • CWAConnector осуществляет чтение событий журналов 1C и контрольно-весовых аппаратов;
  • SymantecConnector осуществляет подключение к базе данных Symantec EPM и чтение ее записей;
  • Palo Alto Connector получает события Syslog межсетевого экрана Palo Alto;
  • Cheсk Point Connector получает события Syslog межсетевого экрана Check Point.

В консоли SIEM создаются и настраиваются правила анализа, применяемые к перехваченным событиям. Список доменных пользователей в автоматическом режиме поступает от сервера DataCenter.

Если при анализе событий было выявлено нарушение, СерчИнформ SIEM сохраняет инцидент в собственную базу данных под управлением MongoDB и оповещает сотрудника службы информационной безопасности по электронной почте.

Консоль администрирования SearchInform SIEM позволяет строить отчёты по зафиксированным инцидентам, а также экспортировать выбранные события в файл.

Узнать стоимость