_
Перейти

RuSIEM

Категория:

Цена по запросу в наличии

Доставка от 5 рабочих дней

Решение RuSIEM позволяет контролировать происходящие в корпоративной инфраструктуре события, находить корреляцию между поступающими событиями в автоматическом режиме и выявлять среди них наиболее значимые. Обнаруживать вредоносные программы, анализировать события сетевых устройств, выявлять как сложные кибератаки, так и неочевидные инциденты, проводить ретроспективные расследования инцидентов.

Описание

Полнофункциональная версия системы RuSIEM предназначена для сбора и анализа информации, а также обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз и быстрого реагирования на инциденты и их дальнейшего расследования. Система способна обнаруживать угрозу, когда обычные средства обнаружения по отдельности ее не видят, но ее можно обнаружить при детальном анализе и корреляции информации из различных источников

Полная версия системы предоставляет следующие функциональные возможности

  • сбор с собственным агентом и пассивный прием событий
  • нормализация событий с длительным хранением и быстрым поиском
  • обогащение события метаинформацией, описывающей, о чем идет речь, в удобном для пользователя формате
  • поиск событий без знания типов и состава событий на основе их симптомов
  • приоритизация событий с помощью весов симптомов, включая суммарные веса
  • корреляция по последовательным событиям (счетчик)
  • корреляция, активируемая на основе различных типов событий
  • агрегирование весов по объектной модели для обнаружения угроз без использования сигнатур
  • ip, fqdn, md5/sha1 файл, url, проверка электронной почты с использованием угрозы IoC и уязвимостей
  • встроенное управление инцидентами для реагирования на угрозы и их захвата
  • автоматическое обновление продукта, правила корреляции, симптомов, IoC и уязвимостей;
  • модель системного доступа на основе ролей

Архитектура RuSIEM

Система состоит из набора микросервисов, выполняющих специфические задачи

  • RuSIEM Agent — отвечает за сбор событий из систем Windows, SQL-серверов и файловых журналов
  • lsinput — отвечает за получение событий из различных источников (Syslog, NetFlow, RuSIEM Agent). Isinput получает события, ставит их в очередь и отправляет дальше по цепочке
  • Frs_server — отвечает за нормализацию событий (разделение событий на поля на основе встроенных правил (по таксономии))
  • Lsfilter (фильтр) — отвечает за симптоматическую функциональность (обогащение событий полезной информацией — добавление описания и критичности событий)
  • lselastic — отвечает за запись событий в elasticsearch для дальнейшей работы с событиями (поиск, просмотр, анализ, отчеты, ретроспективный анализ)
  • Lsfilter (корреляция) — отвечает за корреляцию событий по инцидентам, генерируемым системой в процессе работы (доступно в коммерческой версии)
  • RuSIEM Analytics — отвечает за поиск аномалий (доступно в коммерческой версии, отдельная лицензия)

Rusiem архитектура

RuSIEM Analytics

Подсистема предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и генерацию инцидентов при обнаружении отклонений от собранной статистики

Поведенческий анализ предназначен для выявления на ранних стадиях инцидентов информационной безопасности, связанных с аномалиями в поведении пользователей или сущностей.

Модуль расширенной аналитики обеспечивает решение следующих сценариев

  • превышение пороговых значений по параметру за час
  • отклонение от поведения за прошедшие сутки
  • превышение пороговых значений по параметру за сутки
  • отклонение от поведения за аналогичный час прошедших суток
  • отклонение от поведения за аналогичный час с привязкой к аналогичному дню недели за диапазон обучения

Модуль поведенческого анализа основан на машинном обучении и позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.

Поведенческий анализ использует события реального времени, не выполняя запросы в подсистеме хранения данных, благодаря чему снижается нагрузка на систему хранения. Дополнительно модуль поведенческого анализа позволяет отслеживать аутентификацию пользователей и предоставляет возможность генерации инцидентов при входе любого пользователя в любую систему-источник с 1Р-адреса, вход с которого ранее не осуществлялся данным пользователем, либо на хост, вход на который ранее не осуществлялся данным пользователем.

Функция поведенческого анализа также предоставляет возможность создания пользовательских сценариев входа и выхода.

RuSIEM Monitoring

Подсистема предоставляет функционал для отслеживания состояния объектов ИТ-инфраструктуры и выявления нарушений, связанных с изменением их статуса

Непрерывность — одно из основных требований бизнеса по отношению к ИТ и ИБ вне зависимости от масштабов и сферы деятельности организации. Киберустойчивость организации определяется как бесперебойным функционированием оборудования и информационных систем, так и защищенностью от хакерских атак. RuSIEM Monitoring:

  • для ИТ — контроль состояния компонентов всей вычислительной инфраструктуры в реальном времени;
  • для ИБ — выявление аномалий в функционировании оборудования и информационных систем, указывающих на вероятные действия внешних и внутренних злоумышленников.

Задачи

  • мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы, сетевое оборудование и рабочие станции
  • мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы
  • мониторинг информационных систем и бизнес-критичных серверов
  • улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде
  • удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат
  • простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время

Преимущества

  • мониторинг не требует установки агентов на сервера
  • запуск системы в работу осуществляется за 10 минут: подключение к серверам и сетевому оборудованию в один клик
  • удаленная поддержка: наличие внутренней системы HelpDesk с доменной авторизацией и подключение к пользователю в один клик из тикета
  • одно решение для направлений ИТ и ИБ
  • эффективно работает как самостоятельно, так и в связке с SIEM

RuSIEM IoC

Подсистема обеспечивает функционал для обнаружения попыток захвата корпоративных устройств хакерами

Подключить сервер, ПК или смартфон к зараженным узлам собственной сети, чтобы развивать атаку — любимая тактика злоумышленников. Понимайте намерения хакеров до того, как захват ими конкретных устройств приведет к ощутимым ИБ-последствиям. RuSIEM IoC укажет на возможность развития подобных инцидентов. Модуль подгружает в SIEM данные об IP-адресах, доменах, URL, хэшах вредоносного ПО. Как только система фиксирует в сетевом потоке или хостовой активности обращение к ресурсам из базы, она сообщает об этом оператору, указывая на то, какой именно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

Преимущества

  • анализирует данные из более чем 260 открытых источников
  • сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github,
  • а также данных публичных TI-отчетов
  • на текущий момент система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности
  • интеллектуальная нормализация, очистка, обогащение индикаторов
  • определение степени опасности каждого индикатора на базе уникальной математической модели ранжирования

Какие угрозы можно выявлять с помощью использования IoC

  • загрузка вредоносных файлов с зараженных ресурсов сети Интернет
  • автоматические запросы с компьютеров к инфраструктуре злоумышленников
  • обращение компонентов клиентской инфраструктуры на вредоносные узлы
  • запросы и обращения с инфраструктуры злоумышленников либо зараженных узлов
  • идентификация конкретного ВПО либо хакерской группировки

Как это работает

  • автоматическая настройка без отвлечения ресурса ИБ-команды
  • обновление раз в сутки для актуального статуса базы данных
  • минимум ложных срабатываний за счет сроков истечения (TTL) для записей в списках индикаторов компрометации
  • совместимость с индикаторами других поставщиков
  • поддержка кастомных правил корреляции наряду с предустановленными
  • работа с индикаторами регуляторов, например, ФинЦЕРТ

Детали

Производитель