Обратная связь

раскрутка сайта
joomla templates




С помощью формы обратной связи вы можете оставить сообщение или направить запрос по интересующей вас теме.



Ваше сообщение / вопрос*:



Нажмите на изображение, чтобы его изменить





Спасибо за сообщение

 

Благодарим за обращение в НТЦ «Вулкан»! Специалист компании ответит на ваш запрос в течение ближайшего времени

 

 

OK

SIEM 2.0

Технология

Зачем вам нужна SIEM?

  • Сложность ИТ-инфраструктур современных компаний постоянно растет, появляется большое количество средств защиты информации и различных бизнес-систем, обслуживаемых разными специалистами.

Вы хотите точно знать, что в какой системе происходит, и контролировать действия администраторов?

  • Увеличение количества ИБ-угроз, в том числе продолжительная работа злоумышленника в «невидимом режиме» (Attacker Free Time)

Вы хотите своевременно выявлять инциденты ИБ и иметь возможности для полноценных расследований?

  • Растущее количество требований различных регуляторов и стандартов, в том числе в части регистрации событий безопасности

Вы хотите быть уверенным, что ваша ИТ-инфраструктура соответствует требованиям регуляторов?

Система управления информацией и событиями о безопасности – Security Information and Event Management (SIEM) поможет вам в решении данных задач.

Что вы получите?

Инструмент, который можно использовать:

  • при анализе защищенности ИТ-инфраструктуры
  • для выявления «узких» мест в работе ИТ-инфраструктуры
  • при расследовании инцидентов ИБ
  • для формирования отчетов о соответствии требованиям (Compliance)
  • при анализе сетевых взаимодействий внутри ИТ-инфраструктуры
  • при решении других задач, связанных с управлением ИБ и администрированием ИТ

Часть этих задач решается автоматически встроенными механизмами SIEM.

Как устроена SIEM?

Как правило, SIEM-система состоит из следующих компонентов:

  • средства, осуществляющие сбор данных
  • средства хранения
  • средства, осуществляющие обработку и анализ
  • средства управления, мониторинга и формирования уведомлений и отчетов

Technology1

Современные SIEM работают по двум направлениям сбора информации:

  • первое – сбор информации о произошедших в информационных системах событиях, сохраненных в журналах событий (логах) этих систем (в качестве источников событий выступает активное сетевое оборудование, операционные системы, средства защиты информации, облачные среды и т.д.)
  • второе – сбор информации о сетевом трафике со SPAN-портов или TAP-устройств, разбор сетевого трафика ведется вплоть до уровня приложений модели OSI.

Рынок SIEM-решений представлен более чем 80 продуктами. Все продукты в той или иной степени обеспечивают выполнение следующих функций:

  • сбор событий и захват сетевого трафика
  • нормализация собранной информации
  • централизованное хранение данных
  • фильтрация полученных данных
  • классификация и приоритезация информации
  • корреляция
  • визуализация и информирование.

Кроме этих «базовых» функций SIEM большинство продуктов предлагают «базу знаний» с регулярными обновлениями данных об угрозах и корреляционных правил, а также дополнительные модули, проводящие анализ конфигурации оборудования, выявление подозрительной активности в сетевом трафике, интеграцию с LDAP для получения дополнительных сведений о пользователях, выявление активов и др.

Место SIEM в процессах управления ИТ-услугами

Для компаний с высоким уровнем зрелости (не ниже уровня Defined согласно CobiT) на базе SIEM-систем можно так же решать задачи автоматизации и оптимизации следующих процессов управления ИТ-услугами (ITSM):

Technology2

  • Log Management
  • Event Management
  • Incident Management
  • Problem Management

Наш портфель

НТЦ «Вулкан» осуществляет проектирование и внедрение систем управления информационной безопасностью на базе трех лидирующих решений:

  • IBM Qradar
  • McAfee ESM
  • RSA Security Analytics

Демо-стенды с продуктами развернуты на лабораторной базе компании и готовы к демонстрации своих ключевых возможностей. Подготовленные и сертифицированные специалисты «Вулкана» помогут подобрать оптимальный продукт для решения специфических задач любого заказчика.

 logo

 Эволюция от систем управления событиями и информацией о безопасности к платформам интеллектуальной безопасности.

 

 

RSA Security Analytics

rsa emc logo

Производитель: RSA, Security Division of EMC

Название системы: RSA Security Analytics

Актуальная версия: 10.5

Возможности по обработке событий:

  • визуализация данных для анализа и мониторинга на базе единого графического web-интерфейса
  • быстрое построение отчетов и возможность для расследования инцидентов ИБ
  • использование распределенной вычислительной архитектуры для архивирования и анализа данных
  • возможность линейного масштабирования развернутого решения
  • обеспечение открытого интерфейса для программного доступа к данным (API)
  • широкий набор встроенных отчетов, в том числе на соответствие требованиям регуляторов (например, PCI, BASEL II, ISO 27002)
  • механизмы автоматизации построения отчетов
  • двустороння интеграция с Archer GRC, учет бизнес-контекста при анализе ИБ
  • интеграция с RSA ECAT, позволяющим обнаруживать угрозы на конечных узлах сети
  • одновременное использование четырех разных методологий анализа вредоносного ПО (в том числе изолированная виртуальная среда – «песочница»), автоматическая проверка вредоносного ПО
  • многопользовательская работа, ролевое управление доступом к функциям системы
  • распределенная инфраструктура для одновременного сбора логов и сетевых пакетов

rsa sa

Ключевые преимущества

  • Уменьшение риска интеллектуальных целевых атак
  • Уменьшение времени анализа с нескольких дней до нескольких минут
  • Уменьшение свободного времени злоумышленников в случае успешной реализации атаки
  • Повышение эффективности процессов обеспечения ИБ
  • Централизованное хранение информации, значительное ускорение времени расследования инцидентов
  • Применение гибкой модели управления безопасностью на основе анализа рисков

Линейка продуктов

  • RSA SA All-in-One for Logs или RSA SA All-in-One for Packets – в качестве инсталляции для небольшой инфраструктуры

В распределенной инсталляции:

  • RSA SA Server – в качестве основного сервера
  • RSA SA Hybrid for Logs или RSA SA Hybrid for Packets – для сбора и хранения информации о событиях или сетевом трафике
  • RSA SA Decoder – для сбора и первичной обработки событий или сетевого трафика
  • RSA SA Concentrator – для хранения событий или сетевого трафика
  • RSA SA Log Collector, Virtual Log Collector, Windows Legacy Collector – для сбора событий
  • RSA SA Broker – для управления и агрегации данных с концентраторов
  • RSA SA Event Stream Analysis – для углубленной корреляции событий
  • RSA SA Malware – для анализа сетевого трафика на вредоносное программное обеспечение
  • RSA SA Archiver – для долгосрочного хранения данных

Лицензирование осуществляется по количеству данных в день.

Представляются реализации в виде программно-аппаратных комплексов и виртуальных машин.

Информация от RSA EMC

 2

 Презентация о RSA Security Analytics

Logo FSTEC 2015 RSA SA

 Сертификат ФСТЭК России

IBM QRadar

qradar

Производитель: IBM

Название системы: IBM QRadar Security Intelligence Platform

Актуальная версия: 7.2

Возможности по обработке событий:

  • отображение и анализ потока сообщений о событиях в режиме, близком к реальному времени
  • обработка сетевого трафика на Layer4 (транспортный уровень)
  • обработка сетевого трафика на Layer7 (уровень приложений) с использованием технологии DPI (Deep Packet Inspection)
  • выявление и приоритезация угроз на основе постоянно обновляемых встроенных правил, а также возможность создавать собственные правила на всевозможные сценарии атак и несанкционированных действий
  • работа с атаками, растянутыми во времени, которые легко могут затеряться в «шуме» миллионов событий

IBM-qradar

Чем отличается от других?

  • простота и скорость развертывания
  • интуитивно-понятный интерфейс
  • простота подключения неподдерживаемых источников событий
  • возможность приоритезации и добавления дополнительной информации об активах, автоматическое обнаружение активов, управление уязвимостями (встроенный и внешние сканеры уязвимости)
  • оптимизация хранения и индексации метаданных (по умолчанию индексируется только необходимый минимум)
  • широкие возможности для масштабирования, в том числе возможность подключения внешнего хранилища любого производителя
  • возможность исторической корреляции событий (тестирование правил на уже полученных данных)

Линейка продуктов

  • QRadar SIEM All-in-One (Console) – в качестве первой инсталляции или ядра SIEM
  • QRadar SIEM Flow Processor – для захвата и обработки сетевого трафика в распределенной инсталляции
  • QRadar SIEM Event Processor – для сбора и обработки событий в распределенной инсталляции
  • QRadar SIEM Event Collector – для сбора и перенаправления событий, в том числе из удаленных офисов (off-site sources)
  • QRadar SIEM Data Node – расширение дискового пространства
  • QRadar Risk Manager – для отслеживания конфигурации сетевых устройств
  • QRadar Vulnerability Manager – для управления уязвимостями
  • QRadar Log Manager – для сбора и управления событиями безопасности

Лицензирование производится по количеству событий в секунду, по количеству потоков в секунду и по дополнительным модулям системы.

Подробнее о каждом компоненте можно посмотреть на сайте производителя. Каждый компонент (кроме Data Node) имеет вариант реализации в виде виртуальной машины.

Информация от IBM

logo

Презентация о IBM QRadar Security Intelligence Platform

McAfee ESM

Logo - Intel-McAfee

Производитель: Intel Security (McAfee Inc.)

Название системы: McAfee Enterprise Security Manager

Актуальная версия: 9.4

Возможности по обработке событий:

  • сбор информации, позволяющей принимать конкретные меры по прошествии минут, а не часов
  • сбор информации c широкого спектра источников информации
  • интеграция данных об угрозах и рисках и сопоставление событий в режиме реального времени
  • доступ к накопленным за длительный период данным о событиях и сетевых потоках
  • поддержка мониторинга и отчетности в соответствии с требованиями более 240 законодательных и отраслевых норм
  • интегрированные инструменты для оптимизации рабочих процессов по обеспечению безопасности
  • гибкие варианты развертывания, включая физические и виртуальные устройства

mcAfee-siem

Чем отличается от других?

  • глубокая степень интеграции с другими продуктами производства McAfee
  • фильтрация данных на информационных панелях в режиме реального времени для более наглядного представления информации, связанные (bound) информационные панели
  • возможность выбора протокола сбора для источников событий
  • возможность использования технологии Global Threat Intelligence (McAfee GTI) для автоматического получения информации о репутациях сайтов и внешних угрозах

Линейка продуктов

  • McAfee Enterprise Security Manager – в качестве отдельной инсталляции (combo box), или в качестве ядра распределенной системы
  • McAfee Event Receiver – для сбора событий
  • McAfee Enterprise Log Manager – в качестве лог-менеджера
  • McAfee Advanced Correlation Engine – в качестве системы корреляции событий, работающей как на основе правил, так и без них, для определения рисков и угроз
  • McAfee Application Data Monitor – для мониторинга сетевых пакетов сеансов приложений до Уровня 7
  • McAfee Database Event Monitor for SIEM – для регистрации всех транзакций в базах данных

Лицензирование производится по модулям.

Подробнее о каждом компоненте можно посмотреть на сайте производителя. Подробнее о продукте можно узнать на странице McAfee ESM.

Icon McAfee ESM

Презентация о McAfee Enterprise Security Manager

RSA enVision

rsaRSA enVision − это решение класса SIEM, которое присутствует на рынке достаточно длительное время. RSA enVision выполняет не только классические функции по сбору, нормализации, классификации и корреляции событий из log-файлов между собой, но и увязывает их с результатами работы сканеров безопасности1.

rsa env

RSA enVision обладает рядом важных особенностей и широким спектром функциональных возможностей, таких как:

  • поддержка большого перечня источников событий «из коробки»;
  • работа с «неподдерживаемыми» (экзотическими) источниками событий;
  • возможность хранения событий в их исходном виде (RAW-формат);
  • безагентная технология доступа к событиям;
  • высокая производительность в EPS и хорошая масштабируемость;
  • наличие интегрированной (all-in-one) и распределенной («коллектор-хранилище-обработчик») архитектуры;
  • наличие встроенного сервиса управления инцидентами (Incident Management);
  • наиболее полная в классе SIEM поддержка виртуальных сред VMware.

Продукт продолжает развиваться и проходит этап интеграции с другим решением RSA – системой сбора и анализа сетевого трафика RSA NetWitness. Новое средство RSA Security Analytics доступно для заказчиков с начала 2013 года.

birtДля организаций, уже эксплуатирующих SIEM-решения RSA enVision, специалисты НТЦ «Вулкан» предлагает услуги по созданию кастомизированных, наглядных и многоуровневых отчетов (фирменный логотип, корпоративное оформление, гиперссылки и т.д.), в том числе ориентированных на ТОП-менеджеров (Business Intelligence Reports), а также позволяющих повысить прозрачность и эффективность работы ИБ/ИТ-подразделений.

RSA Env2013jpg 

Презентация о SIEM-системе RSA enVision


1. На сегодняшний день поддерживаются сканеры безопасности: McAfee Professional/Enterprise (Foundscan); nCircle IP360; Open Source Nessus; Qualys QualysGuard; ISS Internet Scanner (Site Protector

HP Arcsight

hparcИсторически SIEM-система HP ArcSight является одним из наиболее распространенных решений этого класса на территории России. Это флагман направления Security Intelligence and Risk Management компании HP.

Потребителей привлекают прежде всего хорошие возможности ArcSight по визуализации результатов обработки событий. Подключение источников базируется на технологии так называемых коннекторов, которые могут быть разработаны практически под любую информационную систему или приложение (технология ArcSight FlexConnector). Продуктовая линейка решения достаточно широкая, что позволяет варьировать варианты установки от моделей ArcSigh Express для относительно небольших сетей до инсталляций на базе ArcSight ESM производительностью в несколько десятков тысяч EPS для крупных распределенных инфраструктур. Отличительная особенность данной SIEM - компонент ArcSight IdentityView, ориентированный на анализ событий в разрезе конкретных пользователей и их учетных записей, реализующий так называемую «пользовательскую» модель.

ArcSight n s

Кроме того, система позволяет обеспечить решение и ряда дополнительных задач, таких как базовые функции по борьбе с мошенничеством (anti-fraud).

В настоящее время решения HP ArcSight ESM и ArcSight Express используют собственную базу данных с технологией обработки данных Correlation Optimized Retention and Retrieval (CORR)-Engine, позволяющей сочетать широкие возможности ArcSight по корреляции и анализу событий с высокой производительностью.

logo ArcSight

Презентация о HP ArcSight Security Information and Event Management

Дополнительно

Публикации НТЦ «Вулкан» по тематике SIEM-систем

  NTC-VULKAN-IBBANK2016

«Почему «не взлетают» SIEM-проекты?». Доклад НТЦ «Вулкан» на Уральском форуме «Информационная безопасность финансовой сферы»

  2 news

В статье рассматриваются «взлеты и падения» SIEM-проектов.

  stat1

Статья в специальном выпуске журнала «Вопросы кибербезопасности»

  Logo SIEM 

 

Практика внедрения и эксплуатации систем SIEM-/SIP-классов

Storage News 2015, № 1/61

 

  GlossSIEM

Русско-английский глоссарий по теме управления событиями

  birt

Расширение аналитических возможностей SIEM-системы RSA enVision путем интеграции с генератором отчетов BIRT

Технологическая разработка НТЦ «Вулкан»

 

Современные тенденции развития SIEM-систем

StorageNews 2013, № 2/54

   

Создание систем управления событиями и инцидентами ИБ (SIEM)

Информационная безопасность, №11/2012

 

RSA enVision – эффективный инструмент для работы с журналами событий MicrosoftWindows

Windows IT Pro/RE, №10/2012

 

Использование SIEM-технологий в расследовании инцидентов информационной безопасности

Доклад НТЦ «Вулкан» на форуме PHDays 2012

 

SIEM как «черный ящик» -  мнение эксперта

Национальный банковский журнал, №11/2011

 

SIEM системы: мониторинг ИБ, оптимизация ИТ, контроль соответствия

StorageNews 2011, № 2/46