Описание
СёрчИнформ SIEM — инновационное техническое решение российской компании «СёрчИнформ», являющейся резидентом Сколково. Первый выпуск данной системы увидел свет в ноябре 2016 года. Позиционируется как принципиально новая платформа для выявления угроз и нарушений политик информационной безопасности путем анализа событий корпоративных систем.
Основные характеристики и возможности СёрчИнформ SIEM
- Система Мониторинга в Реальном Времени: Разработка позволяет непрерывно собирать, мониторить и анализировать события безопасности из различных источников корпоративных систем в режиме реального времени.
- Аккумуляция и Анализ Данных: Программа собирает информацию из разнообразных источников, производит ее анализ и регистрацию инцидентов, предостерегая заинтересованных лиц о возможных угрозах.
- Интеграция с DLP-системой: Тесная интеграция с DLP-системой «Контур информационной безопасности Серчинформ» позволяет более детально анализировать нарушения и проводить анализ инцидентов в мельчайших деталях.
- Аудит и Анализ Различных Аспектов: Возможность аудита логов Eventlog, обращения к файловым ресурсам, аудита СУБД, анализа событий антивирусов и почтовых серверов, оценки активности пользователей, аудита Syslog и другие функции.
- Простота Внедрения и Использования: СёрчИнформ SIEM готов к работе «из коробки», не требует долгой настройки. Развертывание занимает всего несколько часов, после чего система готова к использованию. Продукт решает прикладные задачи и не требует привлечения специалистов для настройки и работы.
- Интеграция с Российской DLP-системой: Симбиоз с DLP-системой «КИБ Серчинформ» обеспечивает доступ к уникальным источникам данных.
- Удобная Система Лицензирования: Простая и понятная система лицензирования, лицензируются только подконтрольные пользователи.
Целевая аудитория СёрчИнформ SIEM
- Банки и финансовые учреждения: Осуществляют мониторинг сложной сетевой инфраструктуры, логируют события и обнаруживают инциденты.
- Телеком-компании: Следят за стабильностью своей инфраструктуры, стандартизируют логи от множества источников.
- Предприятия с DLP, IDS, IDM: Интеграция с SIEM усиливает функционал текущих систем.
- Малый и средний бизнес: Мониторинг сети и соблюдение пользовательских политик с возможностью масштабирования.
- Крупные компании (1000+ устройств): Анализируют большие объемы данных, фокусируясь на критических инцидентах.
- Географически разбросанные организации: Управляют и контролируют свою инфраструктуру из единого центра.
Основные возможности СёрчИнформ SIEM
- Безопасность: Обнаружение вирусных эпидемий, попыток несанкционированного доступа, подбора паролей.
- Мониторинг аккаунтов: Отслеживание активных аккаунтов уволенных сотрудников, ошибок в конфигурации оборудования.
- Работа с данными: Отслеживание удаления данных с ключевых ресурсов, использование ресурсов вне рабочего времени.
- Оборудование и настройки: Мониторинг подключения нового оборудования, изменений в групповой политике.
- Удаленный доступ: Контроль использования TeamViewer и других средств удаленного доступа.
- Системы защиты: Отслеживание критических событий и ошибок в системах безопасности.
Источники данных для СёрчИнформ SIEM
- Управление доменами через Active Directory
- Доступ к файлам и директориям
- Действия и взаимодействия пользователей
- Серверы электронной почты Exchange
- Защита от вирусов с Kaspersky
- Базы данных MS SQL
- Журналы событий от различных устройств и программ через Syslog
- Защита данных с помощью «СёрчИнформ КИБ»
На стадии разработки:
- Мониторинг сетевого трафика через оборудование и Proxy-серверы
- Виртуальные и терминальные платформы
- Интеграция с почтовыми системами
- Использование NetFlow для анализа сетевых активностей и обнаружения DDoS-атак
- Адаптивные информационные панели
- Дополнение списка поддерживаемых антивирусных решений, баз данных и почтовых систем
Примеры готовых стратегий безопасности:
- Active Directory: Отслеживание попыток взлома, анализ входов, учетные записи и их изменения.
- Файловая система: Мониторинг доступа к важным файлам, отчеты о правах доступа.
- MS SQL: Отчеты о изменениях в учетных записях, правах доступа.
- Антивирус Kaspersky: Отчеты о состоянии устройств, обнаруженные угрозы, изменения в административных настройках.
- Exchange: Аудит параметров, управление доступом к ящикам.
- Пользовательская активность: Отчеты о действиях вне рабочего времени, долгое отсутствие активности.
- Syslog: Отчеты о событиях ОС, безопасности и специфические события «КИБ СёрчИнформ».