КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

СЁРЧИНФОРМ SIEM

SerchInform

IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ОС сервера и ПК, базы данных, сетевые экраны, антивирусы, приложения, Active Directory, Exchange. Любые события в этих системах «логируются» (протоколируются). Однако без автоматизированного инструмента отследить, проанализировать все события и оперативно отреагировать на них не представляется возможным.

«СёрчИнформ SIEM» решает эту проблему: приложение собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Сложный механизм работы SIEM сводится к довольно простому алгоритму:

  • Сбор событий с разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
  • Приведение разнородных данных к общему виду.
  • Анализ данных и выявление угроз.
  • Фиксация инцидентов и оповещение в реальном времени.

Источниками данных для «СёрчИнформ SIEM» являются:

  • Контроллеры домена Active Directory;
  • Обращения к файловым ресурсам;
  • Активность пользователей;
  • Почтовые серверы Exchange;
  • Антивирус Kaspersky;
  • СУБД (MS SQL);
  • Syslog аппаратных устройств и приложений;
  • DLP «КИБ СёрчИнформ».

В разработке и тестировании:

  • Траффик, перехваченный с сетевого оборудования или Proxy-серверов;
  • Среды виртуализации и терминальные серверы;
  • Почта, перехваченная через интеграцию с почтовыми серверами;
  • NetFlow (выявление подозрительной сетевой активности, DDoS-атак и т.д.);
  • Динамические дашборды;
  • Расширение списка антивирусов, СУБД и почтовых серверов.

Логика работы: инциденты

Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы при помощи комплексного анализа всех данных.

На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.

Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. «СёрчИнформ SIEM» стабильно и непрерывно контролирует корпоративную инфраструктуру.

Примеры готовых политик

  • ДЛЯ КОНТРОЛЛЕРОВ ДОМЕНА ACTIVE DIRECTORY

     Временное переименование учетной записи.
     Подбор паролей.
     Несколько учетных записей на одном ПК.
     Задание пароля администратором домена.
     Устаревшие пароли.
     Статистика входов в систему.
     Одна учетная запись на нескольких ПК.
     Смена пароля пользователем.
     Временное включение учетной записи.
     Временное добавление учетной записи в группу.
     Устаревшие учетные записи AD.
     Временная выдача прав доступа AD.
     Создание временной учетной записи.
     Операции над учетной записью.
     Изменение состава критичных групп пользователей.
     Использование служебных учетных записей сотрудника.
     Очистка журнала событий пользователем.
     Изменение политики аудита.

  • ДЛЯ ОБРАЩЕНИЯ К ФАЙЛОВЫМ РЕСУРСАМ

     Временная выдача прав на файл/папку.
     Обращение к критичным ресурсам.
     Большое количество пользователей, работающих с файлом.
     Работа с определенными типами файлов.
     Статистика изменений прав доступа к файлам/папкам.

  • ДЛЯ MS SQL

     Временное создание учетных данных MS SQL.
     Временное включение учетных данных MS SQL.
     Статистика изменения прав доступа MS SQL.
     Временное включение пользователя в роль безопасности БД.
     Задание пароля учетной записи SQL администратором БД.
     Временное переименование учетных данных MS SQL.

  • ДЛЯ АНТИВИРУСА KASPERSKY

     Самозащита антивируса заблокировала выполнение программ.
     Самозащита антивируса отключена.
     Отключены антивирусные компоненты защиты.
     Критический статус компьютера.
     Обнаружена потенциально опасная программа.
     Не удалось выполнить административную задачу управления.
     Отсутствует лицензия на антивирус.
     Изменение в составе административной группы управления.
     Заблокированные и зараженные программы.
     Выявлена вирусная эпидемия.

  • ДЛЯ EXCHANGE

     Изменение параметров аудита администратора.
     Группы ролей управления изменены.
     Предоставление доступа к почтовому ящику.
     Изменение статуса почтового ящика.
     Изменение состава ролей управления.
     Доступ к почтовому ящику не владельцем.

  • ПО АКТИВНОСТИ ПОЛЬЗОВАТЕЛЕЙ

     Активность вне рабочего времени.
     Активность давно отсутствующего пользователя.

  • ДЛЯ SYSLOG

     Собственные правила Syslog.
     События ядра операционной системы.
     События пользовательского уровня.
     События почтовых систем.
     События системных демонов.
     События безопасности и авторизации.
     Внутренние события Syslog.
     События протокола построчной печати.
     События новостного протокола.
     События подсистем UUCP.
     События сервисов времени.
     События FTP демонов.
     События подсистем NTP.
     События журналирования.
     Предупреждения журналирования.
     События сервисов планирования.
     Другие события.
     События «КИБ СёрчИнформ».

Продукт «СёрчИнформ SIEM» обошел проблемы большинства современных SIEM-систем: он фактически предоставляет результаты «из коробки», не требует привлечения высококвалифицированных специалистов для написания правил реагирования или корректировки правил корреляции, а также грамотно и без сложностей интегрируется с существующей IT-инфраструктурой.

 

Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс

Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
  • не восстановить данные.

«СёрчИнформ SIEM» позволяет осуществлять централизованный сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов real-time

«СёрчИнформ SIEM» не просто унифицирует события, но и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

«СёрчИнформ SIEM» осуществляет мониторинг событий в реальном времени, что позволяет обрабатывать их сразу при поступлении в систему. Таким образом решение выполняет свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты.

«СёрчИнформ SIEM» выявит:

  • Подозрительную активность пользователей.
  • Вирусные эпидемии или отдельные вирусные заражения.
  • Попытки несанкционированного доступа к конфиденциальной информации.
  • Факты превышения полномочий, мошенничество.
  • Ошибки и сбои в работе информационных систем.
  • Махинации с почтой, базами данных и прочими корпоративными IT-ресурсами.

«СёрчИнформ SIEM» – уникальная SIEM-система, которая не идет по стандартному пути, проложенному другими вендорами. Создавая ПО, мы учитывали опыт и задачи компаний из всех областей бизнеса и создали систему, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.

  • Легкое внедрение

«СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики основаны на перечне типовых задач, которые используют клиенты «СёрчИнформ» из России и стран СНГ. «СёрчИнформ SIEM» дает первые аналитические результаты «из коробки».

  • Простота использования

Сложность эксплуатации большинства SIEM-систем требует привлечения к работе с ними высококвалифицированных и дорогостоящих специалистов. «СёрчИнформ SIEM» поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Развиваться система будет аналогично: с добавлением поддержки новых источников данных клиент получает предустановленный набор правил.

  • Подходит среднему и малому бизнесу

У «СёрчИнформ SIEM» низкие требования к аппаратно-программным средствам и приемлемая даже для малого бизнеса ценовая политика. Решение быстро интегрируется и требует минимальной настройки.

  • Учитывает опыт тысячи клиентов

Мы изучили опыт крупнейших клиентов компании, выявили общие потребности и лучшие практики, чтобы использовать их в «СёрчИнформ SIEM».

  • Симбиоз SIEM и DLP

Одновременная работа «СёрчИнформ SIEM» и DLP «КИБ СёрчИнформ» многократно повышает уровень информационной безопасности компании. SIEM выявляет аномальное поведение и определяет способ получения доступа к информации. КИБ оценивает содержимое всех коммуникаций. Связка систем дает возможность максимально полно расследовать инцидент и собрать доказательную базу.

  • Российский продукт

Программное обеспечение «СёрчИнформ SIEM» является продуктом российского разработчика и удовлетворяет требованиям закона об импортозамещении