СерчИнформ SIEM

«СерчИнформ SIEM» – система мониторинга и анализа событий безопасности от различных источников (ПО, компьютеров, оборудования и т.д.) в реальном времени, корреляции событий и реагирования на инциденты ИБ. Ключевая особенность решения – простота настройки и использования, с системой смогут работать ИБ- и IT-специалисты с любым опытом и уровнем подготовки. Система поставляется с набором правил корреляции – более 300 готовых правил, учитывающих опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Решения «СёрчИнформ» защищают более 3000 компаний, среди них – ООО «Газпромнефть Хантос», ПАО «Компания «Сухой», InterZet, АО «Авиакомпания «Россия» и другие частные и государственные организации.

«СерчИнформ SIEM»:

 

  1. Собирает события из различных программных и аппаратных источников, позволяет работать с логами в рамках единого интерфейса.
  2. Проводит анализ событий и формирует инциденты в соответствии с правилами, детектирует угрозы путем выявления взаимосвязи (корреляций, в т.ч. кросс-корреляций) событий и/или инцидентов.
  3. Автоматически извещает ответственных лиц об инцидентах.
  4. Нормализует и детализирует инциденты для дальнейшего расследования: определяет тип, источник инцидента, при интеграции с AD – пользователя, вероятно причастного к событию.
  5. Позволяет управлять расследованиями и готовить отчетность, также система может передавать результаты в ГосСОПКА и SOC-систему R-Vision.

 

Система выявляет такие инциденты, как:

 

  • подбор паролей;
  • изменение конфигураций и настроек;
  • попытки нелегитимного доступа к сети или ее сегментам;
  • взломы;
  • DDoS- и другие кибератаки;
  • вирусные заражения и эпидемии;
  • сбои и ошибки в работе ПО;
  • перегрев оборудования и т.д.

Внедрение «СёрчИнформ SIEM» занимает от 6 часов до 8 дней. Компания «СёрчИнформ» обеспечивает полное сопровождение: инженер оказывает помощь с установкой и настройкой ПО, специалист отдела внедрения обучает работе с SIEM и помогает настроить правила корреляции, персональный менеджер решает административные и другие вопросы.


Заменяет иностранные продукты:

  • AlienVault OSSIM

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • ArcSight SIEM
    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).
  • Cybersecurity USM Anywhere

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • FireEye XDR

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • Fortinet FortiSIEM

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • Karmasis Infraskope SIEM

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • LogRhythm NextGen SIEM Platform

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • McAfee Enterprise Security Manager

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • Qradar SIEM

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • Rapid7 InsightIDR

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • RSA NetWitness

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).

  • Splunk

    1. Сбор событий из различных источников (SIEM осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса).
    2. Нормализация и обогащение событий (Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией).
    3. Корреляция и применение правил (Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов).
    4. Оповещения и инцидент-менеджмент (Автоматическое извещение ответственных лиц об инцидентах и предоставление информации, необходимой для проведения расследования).