Термин SIEM (Security Information and Event Management) имеет много определений, вот некоторые из них: «Система управления событиями информационной безопасности», «Система сбора и корреляции событий информационной безопасности», «Система мониторинга событий информационной безопасности». Но вне зависимости от терминов, в современных реалиях, SIEM является главным аналитическим инструментом для офицера информационной безопасности или дежурной смены SOC (Security Operation Center).
IBS DataFort предлагает SIEM по модели SaaS из собственного облака.
ЗАЯВКА НА ПОДКЛЮЧЕНИЕ
Заполните заявку и наши менеджеры свяжутся с Вами в самое ближайшее время для уточнения деталей
Основные функциональные возможности:
Консолидация данных – система осуществляет сбор событий ИБ c различных источников (сетевые устройства, ИТ-сервисы, системы безопасности, операционные системы, базы данных, бизнес-приложения).
Хранение данных – структурирование событий безопасности из различных источников в историческом порядке. Это позволяет проводить ретроспективный анализ и определять цепочки действий, ставших причиной возникновения потенциальных инцидентов безопасности.
Корреляция и обработка событий безопасности – поиск общих атрибутов и взаимосвязей между различными событиями. Система содержит более 800 предустановленных правил корреляции.
Анализ событий безопасности и обработка инцидентов - предоставление инструментов для изучения и оценки инцидентов безопасности. Это позволяет специалисту по информационной безопасности вести поиск по множеству параметров и строить различные модели связи событий (свыше 3000 предустановленных отчетов).
Автоматизированное противодействие – при возникновении инцидента ИБ сервис способен самостоятельно запускать автоматический сценарий для подавления или устранения угрозы. Встроенные сценарии поддерживают множество сетевых устройств, ОС и систем информационной безопасности.
Управление жизненным циклом инцидента – встроенная ticket-система позволяет упорядочить процедуру расследования инцидента ИБ, а также обогатить карточку инцидента дополнительной информацией (к примеру VirusTotal).
Автоматизированное обнаружение инфраструктуры – сервис позволяет выявлять и сопоставлять топологию физической и виртуальной инфраструктуры, просто используя учетные данные без какой-либо предварительной информации о том, что из себя представляет устройство или приложение. Современная CMDB (Centralized Management Database) позволяет анализировать сложные события с учетом контекста, используя объекты базы CMDB в условиях поиска.
Автоматическое оповещение – информирование администратора безопасности через интерфейс SIEM и\или посредством электронной почты.
Технические особенности:
Поддержка широкого перечня протоколов интеграции: FTP (FTP over SSL), HTTP, HTTPS, IMAP (IMAP over SSL), JDBC, JMX, LDAP (LDAP start TLS), LDAPS, SMTP, SMTPS, SSH, TELNET, SNMP, VM SDK, Syslog
Агентская и безагентская технологии сбора событий с Windows и Linux серверов
Неограниченное количество подключаемых коллекторов (SIEM Collector)
Преимущества:
Скорость подключения источников событий ИБ к SIEM (менее часа)
Поиск идентификаторов компрометации в полях событий ИБ
Гибкая система тарификации
Возможность самостоятельного создания парсеров и правил корреляции
Интеграция со сканерами уязвимостей