СёрчИнформ SIEM

Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. 

«СёрчИнформ SIEM» – это программа для сбора и автоматического анализа событий из различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности.

Сложный механизм работы «СёрчИнформ SIEM» сводится к простому алгоритму:

1. Сбор событий из разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС и др.).

2. Приведение разнородных данных к общему виду.

3. Анализ данных и выявление угроз.

4. Фиксация инцидентов и оповещение в реальном времени.

Источниками данных для «СёрчИнформ SIEM» являются:

• контроллеры домена Active Directory

• журналы Windows

• журналы регистрации 1С и технологические журналы 1С

• данные по файловым операциям

• данные по активности пользователей

• данные по работе с подключаемыми внешними устройствами

• лог-файлы почтовых серверов Exchange и IBM Domino

• базы данных Kaspersky, Symantec, McAfee, Dr.Web

• лог-файлы СУБД MS SQL, Oracle

• лог-файлы DHCP-сервера

• Syslog аппаратных устройств и приложений

• Syslog приложений DLP-системы «Сёрчинформ КИБ»

• Syslog VMware ESXi

• Syslog сетевых устройств Cisco

• Syslog устройств комплексной сетевой безопасности FortiGate

• Syslog операционной системы Linux

• Syslog веб-сервера Apache

• Syslog почтового сервера Postfix

• Syslog PostgreSQL

• Syslog FTP-сервера Very Secure FTP Daemon

• Syslog межсетевого экрана Palo Alto, Check Point

• Syslog антивируса ESET

• журналы 1С и контрольно-весовых аппаратов

• журналы ошибок автоматизированной банковской системы

Цели и задачи системы

1. Сбор и обработка событий из различных источников. Количество источников данных сегодня так велико, что контролировать все события в инфраструктуре «вручную» невозможно. Отсюда появляются риски «пропустить» инцидент. SIEM как агрегатор информации из разных устройств решает эту проблему. Система приводит данные к единому виду и становится защищённым хранилищем.

2. Анализ событий и разбор инцидентов в реальном времени. «СёрчИнформ SIEM» унифицирует события и оценивает их значимость: система визуализирует информацию с акцентом на важные и критические события.

3. Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе логина/пароля. Чтобы распознавать критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат большой перечень условий и учитывают разные сценарии действий.

4. Сервис кросс-корреляции. Правила кросс-корреляции позволяют настроить систему более тонко – для поиска атак и неполадок в сети по комплексным признакам. Это помогает «СёрчИнформ SIEM» заметить подозрительный след во внешне безобидных событиях (подключение нового email-адреса, быстрый логин/логаут в Active Directory) и объединить их в инцидент. При этом настройка правил не требует от пользователя опыта чтения и написания скриптов на определенных языках программирования. Правила создаются и настраиваются через специальный мастер.

5. Автоматическое оповещение и инцидент-менеджмент. Эти функции позволяют «СёрчИнформ SIEM» выполнять свое главное предназначение: создание условий для быстрого реагирования службой безопасности на инциденты. Процесс обнаружения этих инцидентов система автоматизирует и полностью берет на себя.

Архитектура и алгоритм работы:

• с помощью консоли управления «СёрчИнформ SIEM» осуществляется настройка подключения к источникам данных, конфигурирование правил и настройка оповещений

• сервер SIEM читает события безопасности. После этого система в реальном времени анализирует полученные данные согласно настроенным правилам и сохраняет инциденты в собственной базе данных MongoDB

• в случае обнаружения инцидентов система незамедлительно отправляет уведомление сотруднику службы информационной безопасности

• консоль управления «СёрчИнформ SIEM» позволяет строить отчеты по зафиксированным инцидентам, а также экспортировать выбранные события в файл

Инструмент наглядно представляет количество компьютеров, принтеров, серверов, маршрутизаторов и других устройств в сети. Сканер собирает данные об именах, IP- и MAC-адресах, операционных системах и других характеристиках объектов. Информация об обнаруженных устройствах и открытых на них портах отображается на карте сети и дублируется списком. Дашборд позволяет оперативно следить за подключением и отключением устройств в сети.

Настраиваемые виджеты показывают актуальную статистику по инцидентам в удобном для восприятия формате. События в системе отражаются на панели в режиме, приближенном к реальному времени.

Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет быстро обнаружить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).

«СёрчИнформ SIEM» делает «снимки» состояния Active Directory через выбранные промежутки (к примеру, сегодня и неделю назад). Детальное сравнение снимков позволяет увидеть изменения в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.

Преимущества

• решение учитывает реальный опыт тысяч клиентов

• «СёрчИнформ SIEM» проектировалась, исходя из анализа запросов крупнейших клиентов компании из разных отраслей. В системе реализованы готовые сценарии, которые эффективно работают и дают результаты сразу после установки системы.

• решение готово к работе «из коробки»

• «СёрчИнформ SIEM» быстро интегрируется и требует минимальной настройки. В систему встроены универсальные правила безопасност и (актуальный перечень правил приведен в конце документа).

• решение доступно даже для небольших компаний

• ценовая правила и стоимость обслуживания «СёрчИнформ SIEM» в лучшую сторону отличаются от других подобных решений. Кроме того, ПО «СёрчИнформ» имеет низкие требования к аппаратно-программным средствам.

• интеграция с DLP-системой «СёрчИнформ КИБ»

• «СёрчИнформ SIEM» собирает, анализирует и коррелирует данные с агентами DLP или с перехваченным сетевым траффиком. Связка SIEM и DLP позволяет детализировать нарушения в мельчайших подробностях.

• контроллеров домена Active Directory

• антивируса Kaspersky

• Exchange

• Предустановленные правила по активности пользователей

• событий Syslog

• приложений «КИБ СёрчИнформ»

• Device

• Oracle

• VMWare

• Cisco

• Fortigate

• событий Linux

• событий Postfix

• событий Apache

• событий Very Secure FTP Daemon

• событий контрольно-весовых аппаратов

• Symantec

• Palo Alto

• Check Point

• McAfee

• ESET

• IBM Domino

• 1С

• GPO

• PostgreSQL

• DHCP

• АБС

• антивируса Dr.Web.