+7 (495) 798 11 14
Security information and event management
Сбор и анализ информации о событиях безопасности
Класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности.
Security information and event management, SIEM – это, по сути, объединение классов SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи.
В задачи SIEM-систем входит:
- В реальном времени отслеживать сигналы тревоги, поступающие от сетевых устройств и приложений.
- Обрабатывать полученные данные и находить взаимосвязи между ними.
- Выявлять отклонения от нормального поведения контролируемых систем.
- Оповещать операторов об обнаруженных инцидентах.
MaxPatrol SIEM
(Positive Technologies)
Центр экспертной безопасности Positive Technologies и группа исследований и разработок отслеживают и исследуют новые угрозы. Пакеты экспертизы содержат новые правила, обновленные параметры для сбора и обработки инцидентов, рекомендации по реагированию и списки репутации. Пакеты автоматически предоставляются MaxPatrol SIEM для обнаружения угроз до возникновения серьезных последствий.
(Positive Technologies)
Центр экспертной безопасности Positive Technologies и группа исследований и разработок отслеживают и исследуют новые угрозы. Пакеты экспертизы содержат новые правила, обновленные параметры для сбора и обработки инцидентов, рекомендации по реагированию и списки репутации. Пакеты автоматически предоставляются MaxPatrol SIEM для обнаружения угроз до возникновения серьезных последствий.
MaxPatrol SIEM обеспечивает 360-градусный обзор инфраструктуры и обнаруживает инциденты нарушения безопасности. Регулярно обновляется знаниями от экспертов Positive Technologies.
Легко адаптируется к изменениям в сети.
Легко адаптируется к изменениям в сети.
Основные преимущества MaxPatrol SIEM:
- Обнаруживает важные угрозы.
- Снижает нагрузку на штатных специалистов.
- Обеспечивает обзор инфраструктура на 360 градусов.
Kaspersky Unified Monitoring and Analysis Platform (KUMA)
«Лаборатория Касперского»
SIEM-система безопасности, которая повышает прозрачность защищаемой инфраструктуры, усиливает эффективность мер защиты и помогает выстроить долгосрочную стратегию обеспечения безопасности.
«Лаборатория Касперского»
SIEM-система безопасности, которая повышает прозрачность защищаемой инфраструктуры, усиливает эффективность мер защиты и помогает выстроить долгосрочную стратегию обеспечения безопасности.
Один из ключевых компонентов на пути к реализации единой платформы кибербезопасности. Решение обеспечивает гибкий комплексный подход к противодействию сложным угрозам и целевым атакам, объединяет решения «Лаборатории Касперского» и продукты сторонних поставщиков в единую экосистему, в том числе, является центральным элементом XDR-платформы Kaspersky Symphony XDR. Kaspersky Unified Monitoring and Analysis Platform легко встраивается в существующую ИТ и ИБ-инфраструктуру и помогает подойти комплексно к вопросу соответствия требованиям внешних регулирующих органов.
Актуальные вызовы
Kaspersky Unified Monitoring and Analysis Platform будет полезен организациям со зрелыми процессами в области информационной безопасности, для которых актуальны следующие вызовы:
Kaspersky Unified Monitoring and Analysis Platform будет полезен организациям со зрелыми процессами в области информационной безопасности, для которых актуальны следующие вызовы:
Разрозненные средства защиты, которые усложняют работу специалистов ИБ, отнимают много ресурсов и повышают стоимость владения.
Необходимость соответствовать требованиям в области безопасности КИИ, в том числе взаимодействовать с НКЦКИ – получать и отправлять данные об инцидентах.
Поиск альтернативных SIEM-систем в условиях политики импортозамещения.
Объединение существующих решений в единую экосистему безопасности для увеличения эффективности анализа данных.
Высокие требования к производительности SIEM-систем как ключевое требование.
Необходимость получения контекстной информации о событиях безопасности для упрощения процесса реагирования.
RuSIEM
Российская компания, занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени.
Российская компания, занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени.
Система класса SIEM включает корреляцию в реальном времени, визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами и отчеты.
Корреляция осуществляется на потоке в режиме реального времени. Поток событий расщепляется на корреляцию и сохранение в базу данных, поэтому не привносит задержку между поступлением событий на вход и сохранением в базу данных.
События, поступающие на вход корреляции, буферизуются на диск с помощью MQ с целью предотвращения потерь. Счетчики и триггеры также буферизуются. Таким образом, при внезапной перезагрузке сервера или процессов, сбоях — данные не будут потеряны.