СёрчИнформ SIEM
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory.
«СёрчИнформ SIEM» – это программа для сбора и автоматического анализа событий из различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности.
Сложный механизм работы «СёрчИнформ SIEM» сводится к простому алгоритму:
1. Сбор событий из разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС и др.).
2. Приведение разнородных данных к общему виду.
3. Анализ данных и выявление угроз.
4. Фиксация инцидентов и оповещение в реальном времени.
Источниками данных для «СёрчИнформ SIEM» являются:
-
контроллеры домена Active Directory
-
журналы Windows
-
журналы регистрации 1С и технологические журналы 1С
-
данные по файловым операциям
-
данные по активности пользователей
-
данные по работе с подключаемыми внешними устройствами
-
лог-файлы почтовых серверов Exchange и IBM Domino
-
базы данных Kaspersky, Symantec, McAfee, Dr.Web
-
лог-файлы СУБД MS SQL, Oracle
-
лог-файлы DHCP-сервера
-
Syslog аппаратных устройств и приложений
-
Syslog приложений DLP-системы «Сёрчинформ КИБ»
-
Syslog VMware ESXi
-
Syslog сетевых устройств Cisco
-
Syslog устройств комплексной сетевой безопасности FortiGate
-
Syslog операционной системы Linux
-
Syslog веб-сервера Apache
-
Syslog почтового сервера Postfix
-
Syslog PostgreSQL
-
Syslog FTP-сервера Very Secure FTP Daemon
-
Syslog межсетевого экрана Palo Alto, Check Point
-
Syslog антивируса ESET
-
журналы 1С и контрольно-весовых аппаратов
-
журналы ошибок автоматизированной банковской системы
Цели и задачи системы
1. Сбор и обработка событий из различных источников. Количество источников данных сегодня так велико, что контролировать все события в инфраструктуре «вручную» невозможно. Отсюда появляются риски «пропустить» инцидент. SIEM как агрегатор информации из разных устройств решает эту проблему. Система приводит данные к единому виду и становится защищённым хранилищем.
2. Анализ событий и разбор инцидентов в реальном времени. «СёрчИнформ SIEM» унифицирует события и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.
3. Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попытки могут говорить о подборе логина/пароля. Чтобы распознавать критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат большой перечень условий и учитывают разные сценарии действий.
4. Сервис кросс-корреляции. Правила кросс-корреляции позволяют настроить систему более тонко – для поиска атак и неполадок в сети по комплексным признакам. Это помогает «СёрчИнформ SIEM» заметить подозрительный след во внешне безобидных событиях (подключение нового email-адреса, быстрый логин/логаут в Active Directory) и объединить их в инцидент. При этом настройка правил не требует от пользователя опыта чтения и написания скриптов на определенных языках программирования. Правила создаются и настраиваются через специальный мастер.
5. Автоматическое оповещение и инцидент-менеджмент. Эти функции позволяют «СёрчИнформ SIEM» выполнять свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты. Процесс обнаружения этих инцидентов система автоматизирует и полностью берет на себя.
Архитектура и алгоритм работы:
-
с помощью консоли управления «СёрчИнформ SIEM» осуществляется настройка подключения к источникам данных, конфигурирование правил и настройка оповещений
-
сервер SIEM читает события безопасности. После этого система в реальном времени анализирует полученные данные согласно настроенным правилам и сохраняет инциденты в собственной базе данных MongoDB
-
в случае обнаружения инцидентов система незамедлительно отправляет уведомление сотруднику службы информационной безопасности
-
консоль управления «СёрчИнформ SIEM» позволяет строить отчеты по зафиксированным инцидентам, а также экспортировать выбранные события в файл
Инструмент наглядно представляет количество компьютеров, принтеров, серверов, маршрутизаторов и других устройств в сети. Сканер собирает данные об именах, IP- и MAC-адресах, операционных системах и других характеристиках объектов. Информация об обнаруженных устройствах и открытых на них портах отображается на карте сети и дублируется списком. Дашборд позволяет оперативно следить за подключением и отключением устройств в сети.
Настраиваемые виджеты показывают актуальную статистику по инцидентам в удобном для восприятия формате. События в системе отражаются на панели в режиме, приближенном к реальному времени.
Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет быстро обнаружить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).
«СёрчИнформ SIEM» делает «снимки» состояния Active Directory через выбранные промежутки (к примеру, сегодня и неделю назад). Детальное сравнение снимков позволяет увидеть изменения в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.
Преимущества
-
решение учитывает реальный опыт тысяч клиентов
-
«СёрчИнформ SIEM» проектировалась, исходя из анализа запросов крупнейших клиентов компании из разных отраслей. В системе реализованы готовые сценарии, которые эффективно работают и дают результаты сразу после установки системы.
-
решение готово к работе «из коробки»
-
«СёрчИнформ SIEM» быстро интегрируется и требует минимальной настройки. В систему встроены универсальные правила безопасност и (актуальный перечень правил приведен в конце документа).
-
решение доступно даже для небольших компаний
-
ценовая правила и стоимость обслуживания «СёрчИнформ SIEM» в лучшую сторону отличаются от других подобных решений. Кроме того, ПО «СёрчИнформ» имеет низкие требования к аппаратно-программным средствам.
-
интеграция с DLP-системой «СёрчИнформ КИБ»
-
«СёрчИнформ SIEM» собирает, анализирует и коррелирует данные с агентами DLP или с перехваченным сетевым траффиком. Связка SIEM и DLP позволяет детализировать нарушения в мельчайших подробностях.
-
контроллеров домена Active Directory
-
антивируса Kaspersky
-
Exchange
-
Предустановленные правила по активности пользователей
-
событий Syslog
-
приложений «КИБ СёрчИнформ»
-
Device
-
Oracle
-
VMWare
-
Cisco
-
Fortigate
-
событий Linux
-
событий Postfix
-
событий Apache
-
событий Very Secure FTP Daemon
-
событий контрольно-весовых аппаратов
-
Symantec
-
Palo Alto
-
Check Point
-
McAfee
-
ESET
-
IBM Domino
-
1С
-
GPO
-
PostgreSQL
-
DHCP
-
АБС
- антивируса Dr.Web.