Системы управления событиями и информацией о безопасности (SIEM)
- Финансовая гарантия результата!
- Работаем с 2011 года
- Полное сопровождение и техническая поддержка
- Работаем с 2011 года
- Полное сопровождение и техническая поддержка
Подбор и внедрение систем SIEM
Компания OVODOV CyberSecurity обеспечивает полный комплекс услуг по обеспечению кибербезопасности компаний, в том числе осуществляет подбор и внедрение систем управления информацией и событиями SIEM
SIEM (Security information and event management) — в данном термине объединены два понятия: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.
Системы SIEM анализируют события (тревоги) безопасности в реальном времени, которые исходят от сетевых устройств и приложений, и позволяет своевременно на них реагировать.
Системы SIEM анализируют события (тревоги) безопасности в реальном времени, которые исходят от сетевых устройств и приложений, и позволяет своевременно на них реагировать.
ВАРИАНТЫ SIEM РЕШЕНИЙ
НУЖЕН ПЕРЕХОД НА РОССИЙСКУЮ SIEM СИСТЕМУ?
1
Проведем аудит
Погрузимся в проект. Оценим текущее состояние инфраструктуры и проанализируем требования к ПО
2
Протестируем
Подберем ПО, разработаем план миграции, запустим пилотный проект и протестируем на инфраструктуре заказчика
3
Поможем внедрить
Подготовим мастер-образ, проведем комплексное развертывание конфигурирование ПО на АРМ и серверах, протестируем и составим документацию по использованию ПО.
OVODOV CYBERSECURITY ЭТО:
- 12 летУспешной практики. Большой опыт и накопленная экспертиза в сфере ИБ
- >3000Реализованных проектов по ИБ на всей территории РФ
- 75%От общего числа клиентов сотрудничают с нами более 5 лет
- 100%Успешное прохождение проверок контролирующими органами
Почему 75% клиентов работает с нами более 5 лет?
Потому что вы получаете самый лучший клиентский сервис по информационной безопасности!
Скорость коммуникации
Персональный менеджер, быстро отвечаем на запросы и всегда с вами на связи
Вы понимаете процесс оказания услуги и результат который получите, ваше спокойствие и уверенность в том, что все идет по плану
После оказания услуги вы получаете сопровождение на 1 год
Активное ИБ-сообщество
Для вас бесплатные вебинары, бизнес-завтраки и оффлайн мероприятия, 1000+ участников в телеграмм-канале для обмена опытом и знаниями
Индивидуальный подход
Предлагаем несколько вариантов решений и выбираем вместе лучшее для вас
Стандартный срок сервисного сопровождения составляет 1 год
Получите бесплатную консультацию
по подбору SIEM-системы
Заполните поля и отправьте заявку
Работаем
по всей России
по всей России
Работаем с 15 регионами России и постоянно расширяем географию с возможностью реализации нескольких проектов параллельно.
Даем финансовые гарантии
Мы настолько уверены в качестве своей работы, что прописываем в договоре финансовую гарантию, компенсации штрафов и устранения предписаний ЦБ РФ (ФСТЭК, ФСБ, Роскомнадзора, Прокуратуры) за наш счет
Успешная практика взаимодействия
с регуляторами
с регуляторами
Проверки компаний с которыми мы сотрудничаем, проходят без осложнений, т.к. наша экспертность хорошо известна регуляторам и они с самого начала понимают, что все в порядке.
Так же самостоятельно взаимодействуем со всеми контролирующими органами вместо вас. Снимаем головную боль.
Так же самостоятельно взаимодействуем со всеми контролирующими органами вместо вас. Снимаем головную боль.
Лицензии ФСБ, ФСТЭК и сертификаты
Мы имеем соответствующие лицензии и сертификаты, которые подтверждают квалификацию персонала, а также наличие специализированного оборудования для аудитов и измерений.
Имеем допуски к установке дорогостоящего оборудования (стоимостью более 5 млн. руб.)
Имеем допуски к установке дорогостоящего оборудования (стоимостью более 5 млн. руб.)
Являемся дистрибьюторами и партнерами
ЧТО ТАКОЕ SIEM?
SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна?
По своей сути SIEM - это система, которая способна накапливать в себе данные (журналы работы или, по-другому, логи), поступающие от других средств защиты. Такая система должна уметь распознавать разнообразные «форматы» логов из разных источников - средств защиты, оперативно находить в них необходимую информацию, а также хранить их на протяжении долгого времени. В то же время, SIEM-система умеет выполнять некоторые дополнительные действия: осуществляет таксономию (распределяет данные по категориям и типам) и корреляцию (т.е. осуществляет связь между разрозненные с первого взгляда событиями), уведомляет ответственного сотрудника о выявленных подозрительных событиях в журналах, также предоставляет расширенную информацию по каждому из событий и устройств в сети.
По своей сути SIEM - это система, которая способна накапливать в себе данные (журналы работы или, по-другому, логи), поступающие от других средств защиты. Такая система должна уметь распознавать разнообразные «форматы» логов из разных источников - средств защиты, оперативно находить в них необходимую информацию, а также хранить их на протяжении долгого времени. В то же время, SIEM-система умеет выполнять некоторые дополнительные действия: осуществляет таксономию (распределяет данные по категориям и типам) и корреляцию (т.е. осуществляет связь между разрозненные с первого взгляда событиями), уведомляет ответственного сотрудника о выявленных подозрительных событиях в журналах, также предоставляет расширенную информацию по каждому из событий и устройств в сети.
SIEM-система
РАЗНИЦА МЕЖДУ SIM И SEM
Под термином "Управление информационной безопасностью" (SIM) понимается сбор, хранение и мониторинг данных журнала событий для проведения анализа и устранения угроз. Однако, это более долгосрочный и обширный процесс, который также включает в себя отслеживание действий пользователей.
"Управление событиями безопасности", или SEM, представляет собой процесс мониторинга событий безопасности в режиме реального времени. Он позволяет выявить закономерности, устранить угрозы и немедленно отреагировать на инциденты, связанные с безопасностью. В отличие от SIM, SEM пристально следит за событиями, требующими немедленных действий, и позволяет быстро реагировать на угрозы.
Таким образом, SIEM объединяет оба подхода в одно интегрированное решение, которое позволяет эффективно управлять информационной безопасностью и устранять угрозы в режиме реального времени.
"Управление событиями безопасности", или SEM, представляет собой процесс мониторинга событий безопасности в режиме реального времени. Он позволяет выявить закономерности, устранить угрозы и немедленно отреагировать на инциденты, связанные с безопасностью. В отличие от SIM, SEM пристально следит за событиями, требующими немедленных действий, и позволяет быстро реагировать на угрозы.
Таким образом, SIEM объединяет оба подхода в одно интегрированное решение, которое позволяет эффективно управлять информационной безопасностью и устранять угрозы в режиме реального времени.
SIM SEM SIEM - отличия
КАКИЕ ЗАДАЧИ РЕШАЕТ SIEM-СИСТЕМА?
- 1Получение данных с разнообразных средств защиты
- 2Нормализация полученных данных
- 3Таксономия нормализованных данных
- 4Корреляция классифицированных событий
- 5Создание инцидента, предоставление инструментов для проведения расследования
- 6Хранение информации о событиях и инцидентах в течение длительного времени (от 6 месяцев)
- 7Быстрый поиск по хранящимся в SIEM данным
Задачи SIEM
КАКИЕ ПРОБЛЕМЫ ВЫЯВЛЯЕТ SIEM-СИСТЕМА?
- 1Сетевые атаки во внешних и внутренних периметрах
- 2Вирусы, трояны и бэкдоры
- 3Несанкционированный доступа к конфиденциальной информации
- 4Фрод и мошенничество
- 5Ошибки и сбои в работе информационных систем
- 6Уязвимости
- 7Ошибки конфигураций в средствах защиты и информационных системах
КАКИЕ КОМПОНЕНТЫ ВХОДЯТ В SIEM?
Набор компонентов в системе SIEM зависит от архитектуры решения, размера внедрения, географического распределения системы, параметров производительности.
Как правило, для реализации всех базовых функций в SIEM должны присутствовать несколько основных компонентов.
Как правило, для реализации всех базовых функций в SIEM должны присутствовать несколько основных компонентов.
- Коллекторы, отвечающие за сбор событийС поддержкой большого количества протоколов и сервисов, а также других специфичных сервисов.
Сбор событий может происходить как в пассивном режиме так и в режиме "по запросу". Коллектор отправляет нормализованные события в коррелятор, а сырые события отправляются в хранилище данных. - Хранилище данныхОтвечает за хранение сырых событий. Возможны реализации с хранением нормализованных событий.
- КорреляторОбеспечивает функции обработки и корреляции нормализованных событий. Возможна реализация контекстного поиска сырых событий, находящихся в хранилище.
- Консоль управленияОтвечает за управление, настройку и визуализацию. При этом, в ряде случаев, функция визуализации может выполняться отдельной компонентой.
Компоненты SIEM
РОССИЙСКИЙ РЫНОК SIEM СИСТЕМ
В мире набирает обороты модель SIEMaaS (SIEM как услуга), которая пока не представлена на российском рынке, из-за низкой заинтересованности заказчиков. Вендоры исследуют данное направление, разрабатывают платформы, отслеживают факторы спроса и формируют потребности.
За последние годы доля зарубежных SIEM-продуктов на отечественном рынке сократилась. Это объясняется в том числе политикой импортозамещения, увеличением спроса на отечественные продукты и появлением новых игроков. Необходимо отметить, что одна из крупнейших SIEM-компаний мира ушла из нашей страны официально.
Основные игроки на российском рынке:
За последние годы доля зарубежных SIEM-продуктов на отечественном рынке сократилась. Это объясняется в том числе политикой импортозамещения, увеличением спроса на отечественные продукты и появлением новых игроков. Необходимо отметить, что одна из крупнейших SIEM-компаний мира ушла из нашей страны официально.
Основные игроки на российском рынке:
- MaxPatrol SIEM (Positive Technologies);
- Ankey SIEM («Газинформсервис»);
- Kaspersky Unified Monitoring and Analysis Platform («Лаборатория Касперского»);
- KOMRAD Enterprise SIEM (НПО «Эшелон»);
- RuSIEM (ООО «РуСИЕМ»);
- «СёрчИнформ SIEM» («СёрчИнформ»).
MaxPatrol SIEM
Новые версии решения MaxPatrol SIEM предоставляют возможности для организаций, имеющих крупномасштабную территориально распределенную инфраструктуру. Теперь они могут проводить оперативные расследования по всем своим инсталляциям, а также распределять сбор и обработку событий между несколькими системами. База знаний, используемая в MaxPatrol SIEM, постоянно пополняется новыми пакетами экспертизы, которые содержат новые правила корреляции и обновления параметров сбора и обработки событий, а также рекомендации по реагированию на угрозы и списки репутации.
ЗАДАТЬ ВОПРОС
Ankey SIEM
Основными компонентами Ankey SIEM являются сервер сбора событий и сервер корреляции. Сервер сбора событий обеспечивает централизованный сбор данных из журналов регистрации, фильтрацию и нормализацию данных, агрегацию и приоритизацию информации, а также обогащение ее за счет категоризации и контекста. Сервер корреляции предназначен для выявления нарушений информационной безопасности, анализа и обобщения данных, а также управления обработанными событиями. Дополнительно в программном комплексе имеются модули балансировки событий, модули выявления инцидентов и шина данных. Сервер хранения и сервер аналитики также входят в состав Ankey SIEM.
ЗАДАТЬ ВОПРОС
Kaspersky Unified Monitoring and Analysis Platform (KUMA)
KUMA - это ключевой элемент единой системы безопасности от Лаборатории Касперского, который взаимодействует с решениями вендора и сторонними разработками. Решение включает встроенные сценарии автоматического реагирования на выявленные угрозы безопасности, а благодаря модулю "ГосСОПКА" оно полностью интегрируется с технической инфраструктурой НКЦКИ, что позволяет обеспечить соответствие законодательства РФ в области защиты объектов критической инфраструктуры.
С появлением новых версий KATA / KEDR 4.0 и KUMA, пользователи могут автоматически реагировать на угрозы, создавая задания изоляции и снимая изоляцию с зараженных хостов, формируя правила блокировки на зараженных хостах или всех хостах одновременно, а также создавая задачи запуска произвольных файлов на хостах.
С появлением новых версий KATA / KEDR 4.0 и KUMA, пользователи могут автоматически реагировать на угрозы, создавая задания изоляции и снимая изоляцию с зараженных хостов, формируя правила блокировки на зараженных хостах или всех хостах одновременно, а также создавая задачи запуска произвольных файлов на хостах.
ЗАДАТЬ ВОПРОС
KOMRAD Enterprise SIEM
Решение позволяет производить централизованный сбор и анализ событий ИБ с целью выявления инцидентов и быстрого реагирования на них. Применение комплекса обеспечивает выполнение требований регуляторов в области защиты персональных данных и безопасности государственных информационных систем, а также контроля критической информационной инфраструктуры.
KOMRAD Enterprise SIEM предоставляет возможность установки на одном сервере или же распределенного развертывания. Взаимодействие с источниками данных происходит по протоколам Syslog, SNMP, FTP, SSH и xFlow. WMI-agent был разработан специально для Windows.
Нормализация событий осуществляется автоматически в форматах CEF и RFC 5424. Предусмотрен механизм разбора данных с использованием регулярных выражений. Правила фильтрации и корреляции задаются с помощью визуального конструктора.
KOMRAD Enterprise SIEM предоставляет возможность установки на одном сервере или же распределенного развертывания. Взаимодействие с источниками данных происходит по протоколам Syslog, SNMP, FTP, SSH и xFlow. WMI-agent был разработан специально для Windows.
Нормализация событий осуществляется автоматически в форматах CEF и RFC 5424. Предусмотрен механизм разбора данных с использованием регулярных выражений. Правила фильтрации и корреляции задаются с помощью визуального конструктора.
ЗАДАТЬ ВОПРОС
СёрчИнформ SIEM
Система собирает логи из различных программных и аппаратных источников, предоставляя возможность работы с ними через единый интерфейс. Сервер SIEM осуществляет обработку и корреляцию событий, а также реагирует на них. Более 300 предварительно установленных правил корреляции охватывают все подключенные источники событий. Для работы с большим количеством событий при различных условиях был реализован графический конструктор кросс-коррелированных правил, что позволяет настраивать их без необходимости написания алгоритмов на языках программирования.
ЗАДАТЬ ВОПРОС
RuSIEM
В новых версиях были расширены функциональные возможности, оптимизированы ресурсы, добавлены полноценные модули загрузки индикаторов компрометации. Разработчики добавили возможность обновления информации об активах компании и их корреляции с уязвимостями, а также возможность написания и выполнения автоматизированных скриптов, создания разветвленных структур реагирования на инциденты.
Благодаря комплексной системе управления информационной безопасностью и возможностям автоматизации процессов, RuSIEM можно использовать в качестве ядра SOC центра. Система дополнительно была снабжена модулем НЦККИ, что обеспечило полную интеграцию с ГосСОПКА. Также была изменена документация на систему, переведена на удобный формат Wiki, обновляемый онлайн. RuSIEM позволяет выгружать события во внешний сетевой накопитель и быстро подключаться к системе. Модуль EDR для агента RuSIEM разработан для обнаружения угроз на рабочих столах (с поддержкой MITRE ATT&CK). Также был разработан модуль для построения иерархической структуры с возможностью мультиарендного использования.
Благодаря комплексной системе управления информационной безопасностью и возможностям автоматизации процессов, RuSIEM можно использовать в качестве ядра SOC центра. Система дополнительно была снабжена модулем НЦККИ, что обеспечило полную интеграцию с ГосСОПКА. Также была изменена документация на систему, переведена на удобный формат Wiki, обновляемый онлайн. RuSIEM позволяет выгружать события во внешний сетевой накопитель и быстро подключаться к системе. Модуль EDR для агента RuSIEM разработан для обнаружения угроз на рабочих столах (с поддержкой MITRE ATT&CK). Также был разработан модуль для построения иерархической структуры с возможностью мультиарендного использования.
ЗАДАТЬ ВОПРОС
ИМПОРТОЗАМЕЩЕНИЕ SIEM
SIEM является одной из главных систем в инфраструктуре компании для обеспечения информационной безопасности. На сегодняшний день многие крупные организации используют SIEM-системы иностранных вендоров. Это связано, что раньше (в момент внедрения) отсутствовали отечественные системы с широким функционалом, удовлетворяющим их требованиям. Сейчас ситуация кардинально поменялась. Появилось достаточное количество SIEM-систем отечественного производства, а у российских компаний остро встал вопрос об импортозамещении иностранного ПО.
Логичны подходом при организации импортозамещения SIEM-системы будет подготовка списка требований со списком конкретных пунктов, а также к её функционалу. При составлении такого списка можно опираться на опыт взаимодействия с имеющейся иностранной системой. Полезным будет разделить такой список на обязательные (необходимые) и желаемые требования к системе. А также решить какой сценарий импортозамещения следует использовать в конкретном случае исходя из имеющихся условий и возможностей.
Логичны подходом при организации импортозамещения SIEM-системы будет подготовка списка требований со списком конкретных пунктов, а также к её функционалу. При составлении такого списка можно опираться на опыт взаимодействия с имеющейся иностранной системой. Полезным будет разделить такой список на обязательные (необходимые) и желаемые требования к системе. А также решить какой сценарий импортозамещения следует использовать в конкретном случае исходя из имеющихся условий и возможностей.
Кейсы по использованию SIEM-системы RuSIEM
Компания OVODOV CyberSecurity обеспечивает полный комплекс услуг по защите информации компании, в том числе осуществляет подбор и внедрение SIEM-систем.
Свяжитесь с нами любым способом и мы БЕСПЛАТНО проконсультируем вас по выбору SIEM.
Свяжитесь с нами любым способом и мы БЕСПЛАТНО проконсультируем вас по выбору SIEM.