ГлавнаяРешения

Система сбора и корреляции событий ИБ (SIEM)


Выявляйте скрытые угрозы и оперативно реагируйте на инциденты информационной безопасности!

Когда требуется внедрять SIEM?

Система защиты информации крупной организации состоит из множества компонент: антивирусы, межсетевые экраны, DLP, шлюзы Web- и E-mail-фильтрации и другие решения. Отдельные элементы защиты, пусть даже и лучшие в своем классе, имеют разные стандарты представления информации, что затрудняет мониторинг инцидентов ИБ, их сопоставление, выявление и расследование. К тому же, количество генерируемых событий измеряется миллионами, поэтому проанализировать вручную их просто невозможно.

Для оперативного обнаружения и реагирования на инциденты ИБ в современных крупных предприятиях используются системы класса SIEM (англ. Security Information and Event Management). SIEM - это инструмент для автоматизации процессов выявления и реагирования на инциденты ИБ. Система выполняет сбор и анализ событий ИБ, в результате чего определяет и сигнализирует о появлении инцидентов.

SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, операционные системы и т.д. Система фильтрует полученные данные, приводя их к единому формату (Нормализация). Это позволяет создавать и централизованно хранить единые журналы событий. Далее SIEM коррелирует события - ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять аномалии, потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Кроме того, SIEM позволяет автоматизировать процессы реагирования на инциденты ИБ.

Основные преимущества резервного копирования и восстановления

  • надежная защита регулярно используемой в бизнес-деятельности компании информации в электронном виде;
  • защита от утраты баз данных, корпоративной почты и другой информации;
  • гарантированное предоставление доступа к данным в нужный момент;
  • экстренное восстановление данных;
  • защита от уничтожения данных нелояльным или подкупленным сотрудником, который может иметь физический доступ к компьютерному оборудованию.
  • снижение рисков прямых и косвенных финансовых потерь вследствие утраты важной для бизнеса информации;
  • повышение уровня доверия клиентов и партнеров;
  • обеспечение уверенности в надежной защите информации.

Какие типовые проблемы решают SIEM?

Проблема Решение
Большое кол-во информационных систем и средств защиты информации порождает огромные объемы журналов событий непригодных для анализа SIEM – позволяет осуществлять сбор событий с практически любых источников приводя их к единообразному виду, пригодному для дальнейшего анализа.
Часто возникают ситуации когда в потоке событий есть повторяющиеся событий которые вносят объем и мешают анализу, при этом их нельзя игнорировать SIEM – позволяет агрегировать однотипные события позволяя использовать их при анализе ситуации при этом они не размывают общую картину происходящего.
Для выявления сложных атак, цепочек событий и аномалий требуется сопоставлять события из различных систем в режиме реального времени, что невозможно реализовать в ручном режиме Решения класса SIEM автоматизируют процесс сопоставления событий между собой по различным критериям, позволяя в автоматическом режиме выявлять сложные для выявления инциденты
Хранение журналов событий большого кол-ва различных информационных систем для анализа и расследований может быть невозможно из-за технических ограничений данных систем SIEM – осуществляет сбор событий с практически любых источников и позволяет хранить их заданное кол-во времени, при этом использует сжатие и решает задачу централизованного архивного хранения

Правильное использование системы класса SIEM позволит Вам получить следующие преимущества:

  • Снизить риски возникновения угроз ИБ за счет оперативного выявления и реагирования
  • Сократить затраты и повысить производительность работы специалистов ИТ/ИБ
  • Автоматизировать процесс оценки соответствия требованиям отечественных и международных стандартов (СТО БР ИБСС, PCI DSS, ISO 27001)
  • Контролировать состояние ИТ-инфраструктуры и сократить время возможных простоев
  • Оценивать эффективность имеющихся средств защиты за счет выявления причин возникновения инцидентов ИБ
  • Централизованно хранить информацию о событиях и инцидентах ИБ, с возможностью их последующего анализа

Наши преимущества

  • Десятки успешно реализованных проектов по внедрению SIEM на базе различных решений ведущих производителей
  • Обширная база готовых правил корреляции и оперативная разработка уникальных правил с учетом специфика вашей организации
  • Полный или частичный аутсорсинг функций управления SIEM в рамках гибких SLA в режиме 24*7*365
  • Разработка любых коннекторов в кратчайшие сроки, в том числе для нестандартного оборудования и ПО
  • Предоставление SIEM - как услуги с поквартальной оплатой за фактический объем обработанной информации

Netwrix Event Log Manager

Данные журнала событий — уникальный источник информации для обеспечения безопасности, аудита, соответствия нормативным документам и решения проблем.

McAfee Enterprise Security Manager

Эффективная безопасность начинается с получения точной картины всей активности в системах, сетях, базах данных и приложениях в режиме реального времени. McAfee Enterprise Security Manager обеспечивает для вашей компании подлинную ситуативную осведомленность в режиме реального времени, а также скорость и масштаб, необходимые для выявления критических угроз, интеллектуального реагирования и обеспечения непрерывного мониторинга нормативно-правового соответствия. Сегодня отделы обеспечения информационной безопасности имеют доступ к информации о рисках в режиме реального времени, что позволяет повысить уровень безопасности и сократить время реагирования.

QRadar SIEM

QRadar SIEM - интеллектуальное и автоматизированное SIEM-решение нового поколения от мирового лидера IT-индустрии для защиты сетевой инфраструктуры и обеспечения соответствия необходимым требованиям и стандартам безопасности.

QRadar Risk Manager

QRadar Risk Manager автоматизирует управление информационными рисками, соответствиями политикам корпоративной ИТ-безопасности, сетевой активностью, логами, фактически объединяя и расширяя функционал SIEM-системы в одном комплексном решении.

QRadar Log Manager

QRadar Log Manager - универсальное комплексное решение для управления данными лог-журналов, позволяющее предприятиям осуществлять сбор, анализ и безопасное хранение данных широкого спектра сетевых устройств и приложений.

Splunk

Splunk - пакет программного обеспечения для сбора и анализа всех машинных данных в режиме реального времени, с помощью которого можно полностью визуализировать данные, проводить их экспертизу и находить неисправности в IT-среде.

RSA EnVision

RSA EnVision предоставляет широкие возможности быстрого и эффективного сбора и использования данных журналов для оценки состояния безопасности, эксплуатации систем и соответствия нормативным требованиям.