
Консолидация данных – система осуществляет сбор событий ИБ c различных источников (сетевые устройства, ИТ-сервисы, системы безопасности, операционные системы, базы данных, бизнес-приложения).

Хранение данных – структурирование событий безопасности из различных источников в историческом порядке. Это позволяет проводить ретроспективный анализ и определять цепочки действий, ставших причиной возникновения потенциальных инцидентов безопасности.

Корреляция и обработка событий безопасности – поиск общих атрибутов и взаимосвязей между различными событиями. Система содержит более 800 предустановленных правил корреляции.

Анализ событий безопасности и обработка инцидентов - предоставление инструментов для изучения и оценки инцидентов безопасности. Это позволяет специалисту по информационной безопасности вести поиск по множеству параметров и строить различные модели связи событий (свыше 3000 предустановленных отчетов).

Автоматизированное противодействие – при возникновении инцидента ИБ сервис способен самостоятельно запускать автоматический сценарий для подавления или устранения угрозы. Встроенные сценарии поддерживают множество сетевых устройств, ОС и систем информационной безопасности.

Управление жизненным циклом инцидента – встроенная ticket-система позволяет упорядочить процедуру расследования инцидента ИБ, а также обогатить карточку инцидента дополнительной информацией (к примеру VirusTotal).

Автоматизированное обнаружение инфраструктуры – сервис позволяет выявлять и сопоставлять топологию физической и виртуальной инфраструктуры, просто используя учетные данные без какой-либо предварительной информации о том, что из себя представляет устройство или приложение. Современная CMDB (Centralized Management Database) позволяет анализировать сложные события с учетом контекста, используя объекты базы CMDB в условиях поиска.

Автоматическое оповещение – информирование администратора безопасности через интерфейс SIEM и\или посредством электронной почты.