Системы управления событиями и информацией о безопасности (SIEM)

- Финансовая гарантия результата!
- Работаем с 2011 года
- Полное сопровождение и техническая поддержка

Подбор и внедрение систем SIEM

Компания OVODOV CyberSecurity обеспечивает полный комплекс услуг по обеспечению кибербезопасности компаний, в том числе осуществляет подбор и внедрение систем управления информацией и событиями SIEM

SIEM (Security information and event management) — в данном термине объединены два понятия: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.
Системы SIEM анализируют события (тревоги) безопасности в реальном времени, которые исходят от сетевых устройств и приложений, и позволяет своевременно на них реагировать.

SIEM

ВАРИАНТЫ SIEM РЕШЕНИЙ

НУЖЕН ПЕРЕХОД НА РОССИЙСКУЮ SIEM СИСТЕМУ?

Проведем аудит

Погрузимся в проект. Оценим текущее состояние инфраструктуры и проанализируем требования к ПО

Протестируем

Подберем ПО, разработаем план миграции, запустим пилотный проект и протестируем на инфраструктуре заказчика

Поможем внедрить

Подготовим мастер-образ, проведем комплексное развертывание конфигурирование ПО на АРМ и серверах, протестируем и составим документацию по использованию ПО.

ПОЛУЧИТЬ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

OVODOV CYBERSECURITY ЭТО:

13 лет

Успешной практики. Большой опыт и накопленная экспертиза в сфере ИБ
>3000

Реализованных проектов по ИБ на всей территории РФ
75%

От общего числа клиентов сотрудничают с нами более 5 лет
100%

Успешное прохождение проверок контролирующими органами

Почему 75% клиентов работает с нами более 5 лет?

Потому что вы получаете самый лучший клиентский сервис по информационной безопасности!

Скорость коммуникации

Персональный менеджер, быстро отвечаем на запросы и всегда с вами на связи

Уведомления об этапах выполнения работ

Вы понимаете процесс оказания услуги и результат который получите, ваше спокойствие и уверенность в том, что все идет по плану

Собственная тех. поддержка

После оказания услуги вы получаете сопровождение на 1 год

Активное ИБ-сообщество

Для вас бесплатные вебинары, бизнес-завтраки и оффлайн мероприятия, 1000+ участников в телеграмм-канале для обмена опытом и знаниями

Индивидуальный подход

Предлагаем несколько вариантов решений и выбираем вместе лучшее для вас

Стандартный срок сервисного сопровождения составляет 1 год

Получите бесплатную консультацию
по подбору SIEM-системы

Заполните поля и отправьте заявку

Работаем
по всей России

Работаем с 15 регионами России и постоянно расширяем географию с возможностью реализации нескольких проектов параллельно.

Даем финансовые гарантии

Мы настолько уверены в качестве своей работы, что прописываем в договоре финансовую гарантию, компенсации штрафов и устранения предписаний ЦБ РФ (ФСТЭК, ФСБ, Роскомнадзора, Прокуратуры) за наш счет

Успешная практика взаимодействия
с регуляторами

Проверки компаний с которыми мы сотрудничаем, проходят без осложнений, т.к. наша экспертность хорошо известна регуляторам и они с самого начала понимают, что все в порядке.
Так же самостоятельно взаимодействуем со всеми контролирующими органами вместо вас. Снимаем головную боль.

Лицензии ФСБ, ФСТЭК и сертификаты

Мы имеем соответствующие лицензии и сертификаты, которые подтверждают квалификацию персонала, а также наличие специализированного оборудования для аудитов и измерений.

Имеем допуски к установке дорогостоящего оборудования (стоимостью более 5 млн. руб.)

Являемся дистрибьюторами и партнерами

ЧТО ТАКОЕ SIEM?

SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна?

По своей сути SIEM - это система, которая способна накапливать в себе данные (журналы работы или, по-другому, логи), поступающие от других средств защиты. Такая система должна уметь распознавать разнообразные «форматы» логов из разных источников - средств защиты, оперативно находить в них необходимую информацию, а также хранить их на протяжении долгого времени. В то же время, SIEM-система умеет выполнять некоторые дополнительные действия: осуществляет таксономию (распределяет данные по категориям и типам) и корреляцию (т.е. осуществляет связь между разрозненные с первого взгляда событиями), уведомляет ответственного сотрудника о выявленных подозрительных событиях в журналах, также предоставляет расширенную информацию по каждому из событий и устройств в сети.

SIEM-система

РАЗНИЦА МЕЖДУ SIM И SEM

Под термином "Управление информационной безопасностью" (SIM) понимается сбор, хранение и мониторинг данных журнала событий для проведения анализа и устранения угроз. Однако, это более долгосрочный и обширный процесс, который также включает в себя отслеживание действий пользователей.

"Управление событиями безопасности", или SEM, представляет собой процесс мониторинга событий безопасности в режиме реального времени. Он позволяет выявить закономерности, устранить угрозы и немедленно отреагировать на инциденты, связанные с безопасностью. В отличие от SIM, SEM пристально следит за событиями, требующими немедленных действий, и позволяет быстро реагировать на угрозы.

Таким образом, SIEM объединяет оба подхода в одно интегрированное решение, которое позволяет эффективно управлять информационной безопасностью и устранять угрозы в режиме реального времени.

SIM SEM SIEM - отличия

КАКИЕ ЗАДАЧИ РЕШАЕТ SIEM-СИСТЕМА?

Получение данных с разнообразных средств защиты
Нормализация полученных данных
Таксономия нормализованных данных
Корреляция классифицированных событий
Создание инцидента, предоставление инструментов для проведения расследования
Хранение информации о событиях и инцидентах в течение длительного времени (от 6 месяцев)
Быстрый поиск по хранящимся в SIEM данным

Задачи SIEM

КАКИЕ ПРОБЛЕМЫ ВЫЯВЛЯЕТ SIEM-СИСТЕМА?

Сетевые атаки во внешних и внутренних периметрах
Вирусы, трояны и бэкдоры
Несанкционированный доступа к конфиденциальной информации
Фрод и мошенничество
Ошибки и сбои в работе информационных систем
Уязвимости
Ошибки конфигураций в средствах защиты и информационных системах

КАКИЕ КОМПОНЕНТЫ ВХОДЯТ В SIEM?

Набор компонентов в системе SIEM зависит от архитектуры решения, размера внедрения, географического распределения системы, параметров производительности.

Как правило, для реализации всех базовых функций в SIEM должны присутствовать несколько основных компонентов.

Коллекторы, отвечающие за сбор событий

С поддержкой большого количества протоколов и сервисов, а также других специфичных сервисов.

Сбор событий может происходить как в пассивном режиме так и в режиме "по запросу". Коллектор отправляет нормализованные события в коррелятор, а сырые события отправляются в хранилище данных.
Хранилище данных

Отвечает за хранение сырых событий. Возможны реализации с хранением нормализованных событий.
Коррелятор

Обеспечивает функции обработки и корреляции нормализованных событий. Возможна реализация контекстного поиска сырых событий, находящихся в хранилище.
Консоль управления

Отвечает за управление, настройку и визуализацию. При этом, в ряде случаев, функция визуализации может выполняться отдельной компонентой.

Компоненты SIEM

РОССИЙСКИЙ РЫНОК SIEM СИСТЕМ

В мире набирает обороты модель SIEMaaS (SIEM как услуга), которая пока не представлена на российском рынке, из-за низкой заинтересованности заказчиков. Вендоры исследуют данное направление, разрабатывают платформы, отслеживают факторы спроса и формируют потребности.

За последние годы доля зарубежных SIEM-продуктов на отечественном рынке сократилась. Это объясняется в том числе политикой импортозамещения, увеличением спроса на отечественные продукты и появлением новых игроков. Необходимо отметить, что одна из крупнейших SIEM-компаний мира ушла из нашей страны официально.

Основные игроки на российском рынке:

MaxPatrol SIEM (Positive Technologies);
Ankey SIEM («Газинформсервис»);
Kaspersky Unified Monitoring and Analysis Platform («Лаборатория Касперского»);
KOMRAD Enterprise SIEM (НПО «Эшелон»);
RuSIEM (ООО «РуСИЕМ»);
«СёрчИнформ SIEM» («СёрчИнформ»).

MaxPatrol SIEM

Новые версии решения MaxPatrol SIEM предоставляют возможности для организаций, имеющих крупномасштабную территориально распределенную инфраструктуру. Теперь они могут проводить оперативные расследования по всем своим инсталляциям, а также распределять сбор и обработку событий между несколькими системами. База знаний, используемая в MaxPatrol SIEM, постоянно пополняется новыми пакетами экспертизы, которые содержат новые правила корреляции и обновления параметров сбора и обработки событий, а также рекомендации по реагированию на угрозы и списки репутации.

ЗАДАТЬ ВОПРОС
Ankey SIEM

Основными компонентами Ankey SIEM являются сервер сбора событий и сервер корреляции. Сервер сбора событий обеспечивает централизованный сбор данных из журналов регистрации, фильтрацию и нормализацию данных, агрегацию и приоритизацию информации, а также обогащение ее за счет категоризации и контекста. Сервер корреляции предназначен для выявления нарушений информационной безопасности, анализа и обобщения данных, а также управления обработанными событиями. Дополнительно в программном комплексе имеются модули балансировки событий, модули выявления инцидентов и шина данных. Сервер хранения и сервер аналитики также входят в состав Ankey SIEM.

ЗАДАТЬ ВОПРОС
Kaspersky Unified Monitoring and Analysis Platform (KUMA)

KUMA - это ключевой элемент единой системы безопасности от Лаборатории Касперского, который взаимодействует с решениями вендора и сторонними разработками. Решение включает встроенные сценарии автоматического реагирования на выявленные угрозы безопасности, а благодаря модулю "ГосСОПКА" оно полностью интегрируется с технической инфраструктурой НКЦКИ, что позволяет обеспечить соответствие законодательства РФ в области защиты объектов критической инфраструктуры.

С появлением новых версий KATA / KEDR 4.0 и KUMA, пользователи могут автоматически реагировать на угрозы, создавая задания изоляции и снимая изоляцию с зараженных хостов, формируя правила блокировки на зараженных хостах или всех хостах одновременно, а также создавая задачи запуска произвольных файлов на хостах.

ЗАДАТЬ ВОПРОС
KOMRAD Enterprise SIEM

Решение позволяет производить централизованный сбор и анализ событий ИБ с целью выявления инцидентов и быстрого реагирования на них. Применение комплекса обеспечивает выполнение требований регуляторов в области защиты персональных данных и безопасности государственных информационных систем, а также контроля критической информационной инфраструктуры.

KOMRAD Enterprise SIEM предоставляет возможность установки на одном сервере или же распределенного развертывания. Взаимодействие с источниками данных происходит по протоколам Syslog, SNMP, FTP, SSH и xFlow. WMI-agent был разработан специально для Windows.

Нормализация событий осуществляется автоматически в форматах CEF и RFC 5424. Предусмотрен механизм разбора данных с использованием регулярных выражений. Правила фильтрации и корреляции задаются с помощью визуального конструктора.

ЗАДАТЬ ВОПРОС
СёрчИнформ SIEM

Система собирает логи из различных программных и аппаратных источников, предоставляя возможность работы с ними через единый интерфейс. Сервер SIEM осуществляет обработку и корреляцию событий, а также реагирует на них. Более 300 предварительно установленных правил корреляции охватывают все подключенные источники событий. Для работы с большим количеством событий при различных условиях был реализован графический конструктор кросс-коррелированных правил, что позволяет настраивать их без необходимости написания алгоритмов на языках программирования.

ЗАДАТЬ ВОПРОС
RuSIEM

В новых версиях были расширены функциональные возможности, оптимизированы ресурсы, добавлены полноценные модули загрузки индикаторов компрометации. Разработчики добавили возможность обновления информации об активах компании и их корреляции с уязвимостями, а также возможность написания и выполнения автоматизированных скриптов, создания разветвленных структур реагирования на инциденты.

Благодаря комплексной системе управления информационной безопасностью и возможностям автоматизации процессов, RuSIEM можно использовать в качестве ядра SOC центра. Система дополнительно была снабжена модулем НЦККИ, что обеспечило полную интеграцию с ГосСОПКА. Также была изменена документация на систему, переведена на удобный формат Wiki, обновляемый онлайн. RuSIEM позволяет выгружать события во внешний сетевой накопитель и быстро подключаться к системе. Модуль EDR для агента RuSIEM разработан для обнаружения угроз на рабочих столах (с поддержкой MITRE ATT&CK). Также был разработан модуль для построения иерархической структуры с возможностью мультиарендного использования.

ЗАДАТЬ ВОПРОС

ИМПОРТОЗАМЕЩЕНИЕ SIEM

SIEM является одной из главных систем в инфраструктуре компании для обеспечения информационной безопасности. На сегодняшний день многие крупные организации используют SIEM-системы иностранных вендоров. Это связано, что раньше (в момент внедрения) отсутствовали отечественные системы с широким функционалом, удовлетворяющим их требованиям. Сейчас ситуация кардинально поменялась. Появилось достаточное количество SIEM-систем отечественного производства, а у российских компаний остро встал вопрос об импортозамещении иностранного ПО.

Логичны подходом при организации импортозамещения SIEM-системы будет подготовка списка требований со списком конкретных пунктов, а также к её функционалу. При составлении такого списка можно опираться на опыт взаимодействия с имеющейся иностранной системой. Полезным будет разделить такой список на обязательные (необходимые) и желаемые требования к системе. А также решить какой сценарий импортозамещения следует использовать в конкретном случае исходя из имеющихся условий и возможностей.

Кейсы по использованию SIEM-системы RuSIEM

Компания OVODOV CyberSecurity обеспечивает полный комплекс услуг по защите информации компании, в том числе осуществляет подбор и внедрение SIEM-систем.
Свяжитесь с нами любым способом и мы БЕСПЛАТНО проконсультируем вас по выбору SIEM.