SIEM

Сервер Searchinform SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь, DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают многочисленные коннекторы.

Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, вендор встроил готовые политики безопасности, упростил процесс подключения источников и сделали интуитивно понятный интерфейс. Внедрение «СёрчИнформ SIEM» занимаем от 6 часов до 8 дней. Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.

Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых правил корреляции учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.

Выявляет сложные атаки уже на этапе внедрения, обладая рядом неоспоримых преимуществ:

1. Быстрый результат. Оперативно разворачивается и запускает мониторинг инфраструктуры за счет более 350 коннекторов и более 1100 экспертных правил «из коробки».

2. Актуальная экспертиза. Каждый месяц MaxPatrol SIEM автоматически пополняется новым пакетом экспертизы с правилами корреляции, механизмами обогащения, табличными списками. Плюс постоянное обновление и улучшение ранее загруженных правил.

3. Адаптация к изменениям. Продукт быстро адаптируется к изменениям в инфраструктуре и четко идентифицирует ИТ-активы. Классификация активов по группам облегчает настройку правил корреляции.

4. Помощь в принятии решений. В MaxPatrol SIEM встроен ML-помощник BAD (Behavioral Anomaly Detection). Это система second opinion, повышающая эффективность обнаружения атак за счет альтернативного метода оценки.

5. Enterprise-производительность. MaxPatrol SIEM может обрабатывать более 540 тысяч событий в секунду на одном ядре с полной экспертизой. В продукте используется разработанная вендором СУБД LogSpace, которая потребляет в два раза меньше ресурсов, чем аналогичные решения open source.

6. Простота и удобство. Удобная карточка события позволяет просматривать связанные события, проверять потенциально опасные файлы и реагировать на инциденты в рамках одного окна.

Программный комплекс обеспечения информационной безопасности (ИБ), позволяющий собирать и анализировать информацию о событиях ИБ, получаемую из разнородных источников. Работа RuSIEM позволяет увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности. Флагманские версии продуктов компании включают:

RuSIEM — коммерческая версия системы класса SIEM (Security information and event management), включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты;

RuSIEM Analytics — модуль для коммерческой версии системы RuSIEM, дополняющий возможностями ML (Machine learning), DL (data learning), по визуализации данных, управление активами и множеством других, способствующих обнаружению угроз и аномалий, решающих различные кейсы с помощью современных методик;

RuSIEM Monitoring — cистема мониторинга ИТ-инфраструктуры с возможностью удаленного администрирования и встроенной системой HelpDesk;

RuSIEM IoC — модуль выявления угроз для корпоративных устройств на основе индикаторов компрометации;

RvSIEM free — решение класса LM (Log Management), которое позволяет собрать, нормализовать события, строить отчеты, долгосрочно хранить, визуализировать данные. RvSIEM free — ограниченная по возможностям коммерческая версия RuSIEM.

Kaspersky Unified Monitoring and Analysis Platform объединяет продукты «Лаборатории Касперского» и сторонних поставщиков в единую систему ИБ и является ключевым компонентом на пути реализации комплексного защитного подхода, способного обезопасить от актуальных киберугроз корпоративную и индустриальную среду, а так же наиболее эксплуатируемый злоумышленниками стык IT/OT-систем.

Ключевые преимущества

— Высокая производительность и низкие системные требования (>300k EPS на один узел)

— Масштабируемость и отказоустойчивость
Современная микросервисная архитектура. Решение создано для работы в современных динамично изменяющихся и высоконагруженных ИТ-средах. Модульная микросервисная архитектура решения позволяет легко изменять конфигурацию системы, обеспечивая масштабируемость, отказоустойчивость и гибкость вариантов развертывания.

— Соответствие требованиям регуляторов
Сертификация ФСТЭК, процесс ресертификации проводится раз в год; полностью поддерживает работу на отечественной сертифицированной операционной системе Astra Linux Smolensk Edition 1.7.1; соответствует требованиям приказов 17, 21, 239 ФСТЭК; соответствует требованиям приказа 196 ФСБ; реализует меры ГОСТ Р 57 580.1−2017; модуль управления инцидентами интегрируется с ГосСОПКА).

— Интеграции «из коробки»
Kaspersky Unified Monitoring and Analysis Platform обменивается информацией с решениями и технологиями «Лаборатории Касперского», что позволяет связать уже установленные у вас продукты в единую систему и сделать их работу еще эффективнее. Интеграция с богатым портфолио сервисов Kaspersky Threat Intelligence позволяет выявлять и приоритизировать угрозы и в один клик получать доступ к контекстной информации по новым атакам, индикаторам компрометации, тактикам и техникам злоумышленников.
Благодаря наличию у решения гибкого API, возможна интеграция с широким набором продуктов сторонних поставщиков, в том числе с платформой реагирования на инциденты, системой регистрации и учета заявок, сканером защищенности и многими другими продуктами.