КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Ankey SIEM

Газинформсервис

Ankey SIEM - cистема для централизованного управления безопасностью, событиями и информацией. Эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.

Типичные трудности управления безопасностью

  • Сложность контроля и анализа информации, поступающей от множества различных информационных систем и средств защиты информации: сетевое и серверное оборудование, системы видеонаблюдения, считыватели карт (СКУД) и многие другие инженерные подсистемы здания.
  • Неполный и несвоевременный анализ событий (неверная интерпретация инцидентов, их возможная потеря, возможная потеря событий, задержки в информировании о нарушениях).
  • Трудность связки событий различных источников в единую цепочку, потребность в автоматизации процесса принятия таких решений. Рассмотрим пример. Одна из камер зафиксировала, что кто-то пытается открыть запертую дверь в нерабочее время. Считыватель карт регистрирует вход в систему сотрудника, который работает только один день в неделю. Система контроля влажности в помещении с банковскими ячейками зафиксировала колебания на доли процента. Это изолированные события или часть скоординированной попытки проникновения? Если вам удастся сопоставить данные из разных источников и реализовать логику, например, чтобы проверить, должен ли сотрудник быть на рабочем месте в этот день, и пробовал ли раньше этот подозрительный человек открыть эту или другие запертые двери в здании, тогда вы поймете, когда и как следует действовать.

Решение - система Ankey SIEM, по результатам внедрения которой Вы получите:

  • Всеобъемлющую картину деятельности - вся информация о событиях безопасности у Вас под рукой.
  • Не только сбор и хранение данных (логов), но и их преобразование в единый вид. Объединяя разрозненную информацию Ankey SIEM своевременно выявляет, уведомляет и реагирует на угрозы, которые не в состоянии определить другие средства защиты с ограниченной видимостью.
  • Эффективное управление инцидентами и масштабными данными. Система находит связи между событиями в сетях, где регистрируются более миллиона таких событий в день, анализирует и обнаруживает все существующие и потенциальные угрозы задолго до их реализации.
  • Полную отчетность по информационным рискам для аудиторов, отчеты и правила для соответствия нормативным требованиям IT-отрасли.

Решение предназначено:

  • для предприятий с распределенной структурой (холдинги, филиалы, обширная география)
  • предприятий банковской отрасли, госорганов, нефтегазовой, горнодобывающей и энергетической отраслей
  • компаний с высоким уровнем зрелости ИТ- и ИБ- процессов
  • организаций, заинтересованных в повышении уровня информационной безопасности

Архитектура Ankey включает несколько компонентов, которые можно устанавливать по отдельности. Работая совместно, эти компоненты обрабатывают события, возникающие в вашей сети.

Smart агенты приводят транзакционные данные от устройств к нормализованной схеме, которая становится отправной точкой для корреляции. На рисунке ниже показаны основные компоненты ESM и дополнительные продукты Ankey, которые управляют потоком событий, упрощают их анализ и обеспечивают централизованное управление сетью и реагирование на инциденты.

Отдельные Smart-агенты и (или) Сервер Агентов собирают и обрабатывают данные о событиях, поступающих от сетевых устройств, и передают эту информацию Менеджеру.

Менеджер обрабатывает и сохраняет данные о событиях в хранилище. Если для аналитики возникающих инцидентов не требуется корреляция вместо Менеджера можно использовать программно-аппаратный комплекс Logger.

Пользователи отслеживают события с помощью инструмента Ankey Web и управляют группами пользователей и хранилищем CORR-Engine через Центр Управления Ankey, а также разрабатывают контент и проводят детальные расследования в консоли Ankey.

Комплексный набор дополнительных продуктов обеспечивает эффективное управление журналами и позволяет выполнять анализ статистики, администрировать сеть и мгновенно восстанавливать ее нормальное функционирование, а также помогает соблюдать нормативные требования и максимально подробно анализировать события.

Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс

Сбор и предварительная обработка:

  • автоматизация процесса сбора, фильтрации, нормализации, категорирования, агрегирования, приоритезации событий ИБ
  • единая русскоязычная консоль для доступа к собранным событиям
  • вспомогательная русскоязычная справочная система

Расследование событий и выявление инцидентов: 

  • создание высокоуровневой картины состояния информационной безопасности предприятия с использованием встроенных инструментов: фильтры, отчеты, корреляционные правила, инструментальные панели

Визуализация событий безопасности реализуются с использованием следующих механизмов:

  • карта объектов с географическим расположением
  • отчёты, позволяющие отслеживать состояние информационной безопасности с высокой степенью детализации за выбранный период времени
  • инструментальные панели и активные каналы, отображающие события в режиме реального времени

Расширенная аналитика:

  • обеспечение специалистов ИБ инструментами эффективного анализа информации, на основе сценарного подхода (дашборды, типовые интерактивные отчеты с данными в табличном и графическом представлении) и аналитике в режиме самообслуживания (в режиме конструирования пользователем своих представлений анализируемых данных)
  • свободный поиск данных по всему массиву анализируемых данных
  • интерактивное формирование выборок данных, основанных на интересующих пользователя комбинациях атрибутов и объектов данных, выходящих за рамки стандартных отчетов
  • быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с возможностью фильтрации интересующих данных непосредственно в графических диаграммах
  • реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных
  • программное обеспечение на основе отлаженного ядра HPE ArcSight, признанного эталона SIEM-решений;
  • использование опыта наработок и поддержка от ведущего мирового производителя SIEM-решений;
  • поддержка более чем 500 источников событий ИБ из коробки (с учетом технологического уровня источников из АСУ ТП);
  • поддержка уникального движка для подключения «нестандартных» источников с помощью развитых механизмов сбора событий;
  • дополнительные программные модули расширенной аналитики и визуализации, контроля целостности всех конфигураций компонентов SIEM;
  • поддержка дополнительного инструментария по индивидуальной, комплексной и модельной обработке событий в корпорации для выявления потенциальных взаимосвязей, указывающих на различные подозрения и инциденты;
  • эффективный анализ информации как на основе сценарного подхода с использованием дашбордов, типовых интерактивных отчетов с данными в табличном и графическом представлении (Guided Analytics), так и исследовательской аналитике в режиме самообслуживания (Visual Exploration);
  • свободный поиск информации по всему массиву анализируемых данных, включая ретроспективный;
  • интерактивное формирование выборок данных, основанных на пользовательских атрибутах, выходящих за рамки стандартных отчетов;
  • быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с широкими возможностями фильтрации;
  • реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных;
  • реализация оценки эффективности как применяемых средств защиты информации в корпорации, так и самой SIEM-системы;
  • реализация механизмов оценки эффективности расследования зарегистрированных инцидентов в корпорации;
  • реализация статистических показателей и выявление отклонений от штатной работы как подключенных систем в виде источников, так и самой SIEM-системы;
  • реализация «высокоуровневых» панелей для руководства организации по оценке всей полноты безопасности.

Низкие:

  • Процессоры: 8 ядер
  • Память: 36 Гбайт ОЗУ
  • Хранение данных: 250 Гбайт дискового пространства RAID 10, 15 000 об/мин

Средние:

  • Процессоры: 16 ядер
  • Память: 64 Гбайт ОЗУ
  • Хранение данных: 1,5 Тбайта дискового пространства RAID 10, 15 000 об/мин

Высокие:

  • Процессоры: 32 ядра
  • Память: 128 Гбайт ОЗУ
  • Хранение данных: <= 8 Tбайт RAID 10, 15 000 об/мин

Поддерживаемые операционные системы:

Система:

  • Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
  • SUSE 11 SP3 (64-разрядная)

Консоль:

  • Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
  • SUSE 11 SP3 (64-разрядная)
  • Windows 7 SP1, 8, 8.1, Server 2008 R2
  • MacOS 10.7

Веб-браузеры:

  • Internet Explorer
  • Firefox
  • Chrome (Windows)
  • Safari (MacOS)
Модель программного обеспечения ESM 20 ESM 50 ESM 100 ESM 150 ESM 250
Всего гигабайт в день (Гбайт/день)  20  50  100  150  250
Среднее кол-во событий в сек.  1000  2500  5000  7500  12500
Сетевые устройства  100  250  500  500  500
Пользователи веб-интерфейса  10  25  25  25  25
Именованные пользователи консоли  2  3  3  3
Ресурсы с уязвимостями  10000  10000  10000  10000  10000
Агенты IdentityView  50  50  50  50  50
Включенные лицензии для Connector Management  4  4  4  4  4