Сервер Searchinform SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь, DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают многочисленные коннекторы.
Настраивать «СёрчИнформ SIEM», работать с ней и оперативно реагировать на инциденты может любой ИБ- или IT-специалист. Чтобы это стало возможным и задачи безопасности решались эффективно, вендор встроил готовые политики безопасности, упростил процесс подключения источников и сделали интуитивно понятный интерфейс. Внедрение «СёрчИнформ SIEM» занимаем от 6 часов до 8 дней. Внедрение, запуск и администрирование осуществляется силами команды «СёрчИнформ» и IT-службы заказчика и не требует привлечения сотрудников других отделов.
Одно из ключевых преимуществ «СёрчИнформ SIEM» — работа фактически «из коробки». Система поставляется с набором готовых правил корреляции учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Список коннекторов и правил постоянно расширяется.