СёрчИнформ SIEM

Продукт
Разработчики: SearchInform (СёрчИнформ)
Дата премьеры системы: 2016/11/22
Дата последнего релиза: 2024/03/05
Технологии: ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основная статья: Security Information and Event Management (SIEM)

«СёрчИнформ SIEM» (Security Information and Event Management) – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них специалистов по безопасности. Система позволяет получить результат сразу же после установки, так как имеет широкий набор предустановленных правил и не требует базовой доработки.

2024: Использование базы ФинЦЕРТ

«СёрчИнформ SIEM» теперь распознает мошеннические ресурсы по базе ФинЦЕРТ. Об этом SearchInform (СёрчИнформ) сообщил 5 марта 2024 года.

Система автоматически добавляет в «черные списки» мошеннические домены и IP-адреса, и уведомляет ИБ-специалиста о любых попытках пользователей, оборудования или ПО взаимодействовать с ними.

«
ФинЦЕРТ Банка России рассылает финорганизациям проверенные индикаторы компрометации, на которые можно опираться для обеспечения защиты. Мы добавили интеграцию нашего продукта с этими индикаторами: удобно встроили их в рабочий процесс и автоматизировали часть работы, связанную с их импортом. Это упростит использование мер предосторожности так, чтобы они реально работали на практике, – сказал системный аналитик «СёрчИнформ» Павел Пугач.
»

Ранее собирать и добавлять мошеннические ресурсы в списки исключений нужно было вручную, теперь данная функция «СёрчИнформ SIEM» позволяет автоматизировать работу ИБ-отдела. ИБ-специалисту достаточно указать путь в локальном хранилище, где находится полученный из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ csv-файл. Далее «СёрчИнформ SIEM» будет несколько раз в минуту сверять данные в системе и в папке, чтобы добавить или актуализировать списки исключений.Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.2 т

Эти списки можно использовать в правилах контроля веб-трафика: система обнаружит попытки взаимодействия с ресурсом из «черного списка», определит происходящее как инцидент и оповестит ИБ-службу. В инцидентах будет указан конкретный сотрудник или скомпрометированный узел, который пытался обратиться к мошенническим сайтам из инфраструктуры компании. Таким образом финансовые организации смогут не только упростить импорт данных из ФинЦЕРТ, но и наладить автоматическое выявление и предотвращение инцидентов, связанных с опасными веб-ресурсами.

2023

Коннектор для сбора данных по протоколу SSH

В обновленной версии «СёрчИнформ SIEM» появился коннектор, который позволяет собирать данные по протоколу SSH (Secure Shell). Благодаря доработке оптимизированы возможности SIEM-системы по контролю ИТ-инфраструктуры заказчиков: к ней можно подключить любое оборудование и ПО с Unix-оболочкой, а также устройства и процессы на Windows. По охвату новый коннектор сопоставим с коннектором для syslog – самого универсального формата обмена данными, сообщили 4 декабря 2023 года в компании «СёрчИнформ».

В отличие от стандартных коннекторов, которые собирают из источников события безопасности, SSH-коннектор опрашивает устройства и ПО об их текущем статусе. Таким образом протокол SSH помогает получать сведения о состоянии ИТ-инфраструктуры: например, о загрузке процессора, оперативной памяти и пр. Это полезно, чтобы отслеживать аномалии в штатной работе устройств и программ, которые могут выступать клиентом и сервером для SSH-подключений. Аномалии, в свою очередь, могут говорить об атаках – протокол SSH ввиду его широких возможностей нередко используют хакеры.

В решении «СёрчИнформ» из «коробки» сразу доступны правила корреляции, которые среди полученных SSH-коннектором данных способны вычислить потенциальные проблемы. События с коннектора можно объединить с событиями из других источников с помощью сервиса кросс-корреляции. Наконец, «СёрчИнформ SIEM» позволяет запускать автоматическую реакцию, заданную пользователем, на выявленные инциденты, в том числе обнаруженные по событиям SSH.

«
«Наша SIEM-система практикоориентированная, мы задумывали ее как средство, в том числе, борьбы с угрозами. Сначала реализовали проактивный функционал, теперь поддержали запросы по SSH. Это выходит за рамки стандартного функционала SIEM и позволяет заказчикам получить нужные инструменты без закупки дополнительного ПО», - объяснил системный аналитик «СёрчИнформ» Павел Пугач.
»

Возможность собирать события из программного комплекса Secret Net Studio

«СёрчИнформ» 30 августа 2023 года представила обновление SIEM-системы, которое расширит контроль за безопасностью рабочих станций и серверов, а также мониторинг сетевого трафика. Теперь «СёрчИнформ SIEM» может собирать события из программного комплекса Secret Net Studio от отечественного разработчика «Код Безопасности» и межсетевого экрана UserGate от одноименного производителя.

Для SecretNetConnector в «СёрчИнформ SIEM» доступны предустановленные правила, которые собирают события безопасности СЗИ Secret Net Studio, такие как: статистику входов и выходов, наличие вирусного ПО на контролируемых рабочих станциях и серверах, а также другие события по операциям с антивирусом, и прочие события. На основании данных событий, коннектор позволяет получать информацию об уровне защищенности конечных точек и сетевой инфраструктуры.

Правила для SecretNetConnector

UserGateConnector получает события по 6 предустановленным категориям: журналам веб-доступа, событий, трафика, автоматизированной системы управления технологическим процессом и системы обнаружения вторжений от устройств UserGate и прочим событиям.

«
Прежде всего мы ориентируемся на запрос от наших пользователей. Когда активно начался процесс импортозамещения элементов ИТ-инфраструктуры, мы сразу получили от них соответствующий пул задач, которые начали реализовывать по мере востребованности. То, что раньше закрывали Cisco, FortiGate и прочие – теперь замещается оборудованием и ПО российских вендоров. Соответственно, мы подстраиваем работу системы под поддержку отечественных решений, – комментирует системный аналитик «СёрчИнформ» Павел Пугач.
»

До конца 2023 года в SIEM-системе также появится коннектор к централизованному комплексу для защиты сетевой инфраструктуры и создания VPN-сетей АПШК «Континент», разработанный компанией «Код Безопасности».

Доступность на платформе «Эффективность.рф»

ИБ-решения «СёрчИнформ» доступны на платформе «Эффективность.рф». Об этом компания «СёрчИнформ» сообщила 6 июля 2023 года. «СёрчИнформ» представила для размещения на платформе 3 продукта и 3 услуги, в том числе и СёрчИнформ SIEM. Подробнее здесь.

Интеграция с Eleum 02.450.2U.R

«СёрчИнформ» и отечественная компания «Радиус IT», специализирующаяся на производстве автоматизированных систем управления, договорились о технологическом партнерстве. Компании провели интеграцию своих продуктов – «СёрчИнформ SIEM» и промышленного компьютера ELEUM 02.450.2U.R. Об этом «СёрчИнформ» сообщил 7 июня 2023 года.

«СёрчИнформ SIEM» – собирает и анализирует события в режиме реального времени, позволяя выявлять ИБ-инциденты, а также сохраняет архив событий на случай, если эти данные понадобятся для проведения расследования. Интеграция промышленного компьютера ELEUM с «СёрчИнформ SIEM» позволяет решать такие задачи заказчика, как сбор информации из программных и аппаратных источников, обнаружение угроз, оповещение персонала об инцидентах и т.д. В ходе тестирования работы было установлено, что продукты пригодны для совместного применения: SIEM-система не нарушает целостности операционной системы, коннекторы успешно подключаются, сбор информации производится корректно.

Промышленный компьютер ELEUM предназначен для централизованного управления сетевыми ресурсами и файлами организации. Устройство подходит для приложений, требовательных к скорости чтения и записи информации, для систем хранения данных и видеонаблюдения. Компьютер может выполнять параллельно несколько функций – функции АСУ ТП, обеспечение информационной безопасности, а также резервирование и хранение данных. Имеет высокие показатели надежности и большой срок эксплуатации.

«
Прошлый год показал, что зарубежные решения ненадежны, так как разработчики могут прекратить их поддержку или импорт. Это грозит компаниям срывом бизнес-процессов, а также увеличением ИБ-рисков, которые, например, могут возникнуть из-за использования не обновляемого ПО. Поэтому в приоритете – интеграция наших решений с отечественными продуктами. Мы продолжаем развивать продукты в этом направлении и кроме отечественного софта работаем над совместимостью с «железом». Интеграция с промышленным компьютером ELEUM – один из таких примеров, – поделился Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
»

«
Мы постоянно работаем над расширением возможностей нашего оборудования. На рынке возникла потребность в комплексном решении на базе универсальной аппаратной платформы и российского ПО, способного управлять ИБ-событиями, а также обеспечивать безопасность информационных ресурсов компании. Мы предложили идею совместного продукта компании «СёрчИнформ», для реализации комплексного решения выбрали SIEM-систему. Интеграция прошла успешно, тесты подтвердили хорошую работу «СёрчИнформ SIEM» на наших серверах, – прокомментировал Вячеслав Шинкин, руководитель департамента информационных технологий «Радиус IT».
»

«СёрчИнформ» и «Радиус IT» продолжат сотрудничество. На начало июня 2023 года компании работают над совместимостью промышленного компьютера ELEUM 02.450.2U.R с DLP-системой «СёрчИнформ КИБ». Интеграция расширит радиус действия информационной безопасности на промышленных компьютерах и позволит предотвращать утечки информации, корпоративное мошенничество и другие инциденты безопасности, связанные с человеческим фактором.

Возможность настроить скрипты, которые запустят автоматическую реакцию при выявлении инцидента

Компания «СёрчИнформ» 19 января 2023 года представила обновление «СёрчИнформ SIEM» – теперь в интерфейсе системы можно настроить скрипты, которые запустят автоматическую реакцию при выявлении инцидента. В редакторе скриптов, который встроен в «СёрчИнформ SIEM», ИБ-специалист может прописать любой сценарий действий, которые SIEM запустит для устранения угрозы.

«
В «СёрчИнформ SIEM» появился функционал, который нетипичен для этого класса решений. Теперь система не только выполняет базовые задачи по обработке потока событий и выявлению угроз, но и в автоматическом режиме может их устранить. Если система выявит подозрительные события, то по политикам безопасности остановит инцидент, а ИБ-специалист получит об этом уведомление. Если в ИТ-инфраструктуре заказчика происходят критичные события, то SIEM-система среагирует на них конкретным действием. Например, когда на ПК происходит массовое шифрование файлов, то SIEM может запустить реакцию антивируса (сканирование, удаление файлов или помещение зловреда в песочницу), – прокомментировал системный аналитик «СёрчИнформ» Павел Пугач.
»

Обновленный функционал «СёрчИнформ SIEM» позволяет автоматизировать действия ИБ-специалиста и облегчает выполнение монотонных задач, например, если нужно заблокировать скомпрометированную учетную запись во всех средах. Также в SIEM можно присвоить инцидентам ИБ разный уровень угроз.

2022

Возможность собирать события из VipNet

Компания «СёрчИнформ» 22 декабря 2022 года представила обновление SIEM-системы, которое расширяет возможности по контролю сетевого оборудования. Теперь «СёрчИнформ SIEM» может собирать события из VipNet, сетевого шлюза безопасности от отечественного производителя «ИнфоТекс». VipNetConnector – это криптошлюз (Site-to-site, RA VPN) и сервер-маршрутизатор конвертов, содержащих зашифрованные служебные данные и данные клиентский приложений.

Для VipNetConnector в «СёрчИнформ SIEM» доступны 5 предустановленных правил:

  • Ошибки входа под учетными данными администратора.
  • Ошибки входа под учетными данными пользователя.
  • Операции с правилами фильтрации трафика.
  • Перезагрузка узла кластера.
  • Экспорт справочников, ключей и настроек.

Два первых правила срабатывают, когда администратор или пользователь ошибается при попытке входа в учетную запись, а также при реализации атаки извне методом полного перебора пароля (brute-force attack). События из разряда «Операции с правилами фильтрации трафика» не несут в себе информации об угрозах, но полезны при проведении расследований или настройке правил кросс-корреляции. «Перезагрузка узла кластера» указывает на нарушение отказоустойчивости кластера, а «Экспорт справочников, ключей и настроек» может говорить о несанкционированных действиях со стороны пользователей.

«
В компаниях с географически распределенной инфраструктурой всегда востребованы решения сетевой безопасности с дополнительными гарантиями защиты при работе в VPN. Потребность в таких продуктах возросла с началом пандемии, а уже в этом году компаниям понадобился не просто криптошлюз, а российский криптошлюз. Мы всегда прислушиваемся к запросам заказчиков, поэтому добавили в SIEM-систему VipNetConnector – отечественный сетевой шлюз безопасности, – сказал системный аналитик «СёрчИнформ» Павел Пугач.
»

Также в первом квартале 2023 года в «СёрчИнформ SIEM» появятся коннекторы для российских СЗИ SecretNet Studio (обеспечивает безопасность рабочих станций и серверов), АПШК «Континент» (служит для контроля событий криптошлюза) и UserGate (межсетевой экран).

Возможность прямого экспорта данных в ГосСОПКА

25 января 2022 года компания «СёрчИнформ» сообщила о масштабном обновлении «СёрчИнформ SIEM» при поддержке гранта РФРИТ.

По информации компании, в 2020 году «СёрчИнформ» получил грант Российского фонда развития информационных технологий (РФРИТ) на развитие своей SIEM-системы. За год в программе увеличено количество источников данных, расширен функционал расследований, решение было оптимизировано в управлении.


Под контролем системы может быть любое оборудование (маршрутизаторы, коммутаторы, серверы, принтеры и пр.) и ПО, которое работает по протоколу SNMP (Simple Network Management Protocol – простой протокол сетевого управления). Благодаря SNMPTrap Connector система получает уведомления о критических событиях от этих источников: например, об отключении порта, изменении сети маршрутизации, переходе к питанию от батареи, сигнале тревоги и пр. Это экономичный формат обмена данными, чтобы не перегружать SIEM событиями, не требующими внимания.

NetFlow Connector

NetFlow Connector собирает данные о сетевом трафике в стандартизированном формате NetFlow. С ним система получает информацию об объемах и направлении трафика в сети компании, статистику подключений, сбоев и т.п. Общую картину движения трафика можно выгрузить в отчет.

Появились коннекторы к специфическим источникам. Так, RusGuard Connector помогает получать информацию от умной системы контроля доступа: авторизации сотрудников, ошибки считывания пропусков, статистику распознавания лиц, нарушения физического периметра и т.п. Реализован Azure Connector, которые позволяют корректно получать события ИБ от баз данных, которые мигрировали в облако MS Azure. Таким образом, «СёрчИнформ SIEM» теперь сможет проводить комплексный мониторинг безопасности для облачной инфраструктуры.

В сканере сети появилась функция: поиск уязвимостей для обнаруженных портов. Отчет доступен по клику по названию хоста. Он показывает список уязвимостей, актуальных для данного ПО или устройства, благодаря вычитке vulnerability-баз в реальном времени. Это позволяет оперативно узнавать о потенциальных угрозах, чтобы вовремя их устранить.

Еще более продвинутый сканер уязвимостей можно подключить с помощью Red Check Connector. Он передает в SIEM информацию о конкретных проблемах в корпоративной сети, выделяя уровень опасности. Готовый набор правил корреляции позволяет контролировать результаты аудита отдельных типов источников: СУБД, сетевых приложений, рабочих станций, а также следить за конфигурацией оборудования и управлять обновлениями. Для корректной работы сканера требуются дополнительные лицензии Red Check.

Red Check Connector

Для всех коннекторов в «СёрчИнформ SIEM» доступны готовые правила корреляции. Набор правил постоянно расширяется и для «классического» набора коннекторов.

Конструктор регулярных выражений

Так, в 2021 году расширился список предустановленных правил для Linux Connector: теперь они работают с отечественными ОС семейства. Для KavEvent Connector, который контролирует антивирусы Kaspersky, появилась возможность отображать события сервера администрирования Kaspersky Security Center с разными уровнями важности («информационные сообщения», «отказ функционирования», «предупреждения», «критические», «прочие события»). Для Cisco Connector в группу «Cisco. Основные события» добавлено правило, чтобы контролировать, как осуществляются подключения по VPN-каналу через сетевой шлюз Cisco ASA.

ИБ-специалисты также могут создавать собственные правила корреляции. В редакторе правил обновился конструктор регулярных выражений: в нем удобнее создавать запросы благодаря готовым элементам формулы, подсказкам и проверочному режиму.

Разные запросы можно объединять в многоуровневые правила: механизм кросс-корреляции теперь доступен для всех 30+ коннекторов «СёрчИнформ SIEM». Сервис кросс-корреляции представлен в виде интерактивного конструктора: чтобы создать сложное правило, не нужно знать языки программирования и возиться с кодом. Обновление еще расширило возможности сервиса: добавился логический оператор «НЕ», который научит систему распознавать инцидент, когда нарушились легитимные процессы и не произошло важное событие. Например, если человек не проходил через СКУД, но работает за компьютером, это повод разобраться: это санкционированный удаленный доступ или вторжение. Фактически оператор увеличивает спектр применения правил кросс-корреляции в два раза при использовании двух событий для формирования инцидента, и в шесть раз – при использовании трех.

В «СёрчИнформ SIEM» появилась возможность экономично контролировать распределенные сети – например, в компаниях со множеством филиалов. До сих пор в распределенных сетях применялся сбор данных центральным сервером, куда поступала информация напрямую от устройств и ПО в филиалах. Это могло создавать излишнюю нагрузку на сеть и приводить к потере данных при сборе событий из источников с пассивным сбором. Теперь в системе появился специальные буферизующие агенты, которые собирают и нормализуют данные «на местах» и передают в «головной» SIEM уже в подготовленном виде. Вот, как это работает:

  • Устройства в удаленных филиалах передают информацию о событиях ИБ в буферизирующий агент.
  • Буферизирующий агент собирает события в филиале, нормализирует их и выявляет среди них инциденты.
  • «Чистые» данные из филиала передаются в центральный офис по выделенному каналу.
  • Сервер SIEM в центральном офисе получает и хранит «чистые» данные от филиалов с готовой разметкой: что, когда и где произошло.

В результате растет производительность и отказоустойчивость системы: с одной стороны, передача готовых данных по одному выделенному каналу экономит ресурсы, с другой – данные от устройств сохраняются локально на буферизирующем агенте в филиале.

Процесс расследования инцидентов в «СёрчИнформ SIEM» оптимизирует инструмент – таск-менеджер. Он позволяет объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии и подводить итоги.

Таск-менеджер

Инструмент полезен, чтобы определять границы инцидента и выявлять цепочки событий, которые объединены одной атакой или сбоем. На основе выводов расследований удобно создавать другие правила кросс-корреляции.

Кроме того, теперь можно комментировать каждый инцидент в отдельности. В комментарии можно добавить любой текст, автоматически в них включится имя автора и время добавления. Доступно автозаполнение. Администратор системы может гибко настроить права доступа к комментированию для разных ИБ-специалистов, которые работают с SIEM. Комментарии будут являться неотъемлемой частью инцидента, и заодно дублироваться в логи.

Результаты расследований, информацию о работе SIEM и аналитику по отдельным источникам выгружаются в кастомизируемые отчеты. Добавилась возможность формировать отчеты по любому правилу, выгружать их по расписанию и отправлять на электронную почту.

А для компаний, которые должны отчитываться о состоянии ИБ перед регулятором, реализована возможность напрямую передать отчеты в НКЦКИ в стандартизированном формате. В SIEM реализован функционал прямого экспорта в ГосСОПКА, который позволяет информировать регулятора не о событиях или промежуточных результатах расследований, а представлять картину атаки/сбоя целиком.

Обновленная схема лицензирования «СёрчИнформ SIEM» опирается на количество узлов, которые будут передавать данные – компаниям не нужно «прикидывать на глаз» пиковые объемы трафика (EPS), легче оценить свои потребности в количестве лицензий.

При внедрении добавилась возможность «разбить» БД SIEM на мощности нескольких серверов. Поддержка кластерной модели работы позволяет системе обрабатывать одновременно больше информации и делать это быстрее. Все настройки кластера осуществляются из одной консоли.

Проверить работоспособность основных коннекторов перед «боевым» запуском можно в тестовом режиме. Например, для коннектора WinEvent разработан механизм генерации всех типов тестовых событий, чтобы без усилий провести полную проверку настроек аудита данных на источнике. Особенно это актуально, чтобы убедиться в корректности правил аудита Active Directory.

Чтобы обезопасить систему – ведь она хранит максимум информации о составе и «тонких местах» в инфраструктуре компании – реализованы ограничения при работе администраторов SIEM. Так, переработан механизм авторизации: теперь можно ограничить список узлов, с которых можно подключиться к серверу системы. Если злоумышленникам удастся завладеть данными для авторизации, они не смогут подключиться к SIEM из-за пределов корпоративного периметра, или с IP, который не задан как доверенный.

А чтобы контролировать, как взаимодействуют с SIEM легитимные пользователи, все действия юзеров после авторизации в системе подробно логируются. Руководитель службы ИБ может просмотреть, кто, когда и что делал в SIEM, а также задать роли своих сотрудников в системе. Это поможет выявить ошибки или подозрительные действия внутренних пользователей.

Внешний вид системы и выдачу данных можно кастомизировать почти без ограничений. Например, можно менять порядок расположения виджетов способом drag-and-drop. А во всех вкладках консоли стало больше фильтров, группировки по любым параметрам, возможности экспорта данных и отправки на печать.

Появилась карта подключений, которая визуализирует, какие пользователи авторизованы на каких устройствах. Граф формируется на основе событий по правилу «Статистика входов в систему» (WinEventConnector) и отображается на отдельной вкладке. Карта подключений позволяет просматривать для каждого компьютера/пользователя:

  • связи с другими объектами сети;
  • тип и статус подключений: интерактивный, сетевой и др.
  • детальную информацию о подключениях за выбранный период времени.

Все дашборды и графы теперь доступны онлайн в веб-представлении. Аналитическую информацию можно будет просмотреть с любого устройства – видео-стены, телевизора, дополнительного монитора и пр.

2020: Обзор «СёрчИнформ SIEM»

В последние годы отечественные SIEM-системы активно развиваются. Дополнительный стимул они получили благодаря политике импортозамещения. Несмотря на то, что в российских компаниях продукты этого класса пока не слишком распространены, интерес к ним растет. Положительная динамика особенно ярко видна на тендерных площадках, где государственные, частные и некоммерческие организации проводят конкурсы по закупке SIEM-систем.

Это объясняется, в частности, законодательными изменениями: в последнее время выросли требования к организациям в вопросах защиты критической информационной инфраструктуры (Федеральный закон от 26 июля 2017 г. № 187-ФЗ). При этом у заказчиков в приоритете простота внедрения и обслуживания SIEM-систем.

Рассмотрим подробнее одно из решений этого класса - «СёрчИнформ SIEM».

Архитектура

Рис. 1. Схема работы «СёрчИнформ SIEM»

В «СёрчИнформ SIEM» информация из источников событий попадает на сервер SIEM, который отвечает за обработку, корреляцию и формирование ИБ-инцидентов. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. Сбор и анализ событий в системе обеспечивают коннекторы.

Полный список коннекторов по состоянию на февраль 2020 года выглядит так:

  • PostgreSQLConnector вычитывает и анализирует протоколы PostgreSQL из журнала Windows «Приложения»;
  • ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory;
  • 1CConnector вычитывает журналы 1C;
  • GPOConnector отслеживает изменения в настройках объектов групповых политик;
  • WinEventConnector вычитывает и анализирует журнал Windows Event Log, контроллеры доменов и серверов Windows, а также информацию об учетных записях (по протоколу LDAP). Поддерживает контроллеры доменов на базе Windows Server 2008 R2 и выше;
  • ESEventConnector вычитывает базу данных FileController, которая содержит информацию о действиях пользователей с файлами;
  • ProgramConnector собирает информацию об активности пользователей, подключаясь к базам данных ProgramController;
  • DeviceConnector вычитывает базу данных DeviceController, которая содержит информацию о копируемых файлах, подключаемых внешних устройствах;
  • SQLAuditConnector вычитывает и анализирует протоколы Microsoft SQL из журнала Windows «Приложения»;
  • OracleConnector анализирует протоколы СУБД Oracle;
  • KavEventConnector, SymantecConnector и McafeeConnector осуществляют подключения к базам данных Kaspersky Security Center, Symantec EPM и антивируса McAfee соответственно, а также чтение их записей;
  • ExchangeConnector и DominoConnector вычитывают логи почтовых серверов Exchange и IBM Domino соответственно;
  • SyslogConnector обеспечивает получение событий Syslog;
  • VMwareConnector обеспечивает получение событий VMware ESXi;
  • CiscoConnector обеспечивает получение событий сетевых устройств Cisco;
  • FortigateConnector обеспечивает получение событий устройства комплексной сетевой безопасности FortiGate;
  • PaloAltoConnector и CheckPointConnector обеспечивают получение событий межсетевых экранов Palo Alto и Check Point соответственно;
  • LinuxConnector обеспечивает получение событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon;
  • ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET;
  • SIDLPConnector обеспечивает получение событий приложений «СёрчИнформ КИБ»;
  • CWAConnector вычитывает журналы 1C и контрольно-весовых аппаратов.
  • DHCPConnector обеспечивает получение событий DHPC-серверов на ОС Windows.
  • CustomConnector позволяет создавать пользовательские правила для сбора событий из произвольного источника.


В зависимости от функциональных особенностей источника сбор данных происходит по трем сценариям: прямое подключение к источнику, самостоятельная отправка данных от источника к серверу, сбор через агента. Это позволяет применять «СёрчИнформ SIEM» в компаниях с распределенной структурой.

Информация по обнаруженным инцидентам хранится в базе данных MongoDB.

Функциональные возможности

Создание правил кросс-корреляции

Функция реализована по принципу «настрой и пользуйся». Обычно создание правил кросс-корреляции требует опыта в написании скриптов и навыков программирования. В «СёрчИнформ SIEM» все сводится к настройке в одном окне условий, по которым разные события объединяются в инцидент.

Рис. 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила

Правила кросс-корреляции позволят настроить систему более тонко, чтобы она могла «увидеть» подозрительный след во внешне безобидных событиях (подключение нового email-адреса, логин/логаут в Active Directory). Например, один из пользователей залогинился в AD и через некоторое время сделал логаут. Пока все логично. А если между логином и логаутом прошло совсем немного времени, и в это время пользователь менял пароль доступа к рабочей базе данных SQL? Это может быть тревожным звонком. Здесь в дело вступает пользовательское правило кросс-корреляции: формирует соответствующий инцидент и дает возможность администратору принять меры и предотвратить проблемы в дальнейшем.

Обнаружение новых устройств и открытых портов на сканере сети

Сканер «СёрчИнформ SIEM» позволяет определить количество компьютеров, роутеров, свитчей, сетевых принтеров в сети, обнаружить открытые порты и отследить попытки несанкционированного подключения нового оборудования.

Визуализация статистики инцидентов на контрольных панелях

Настраиваемые «дашборды» показывают актуальную статистику по инцидентам в удобном для восприятия формате. Администратор может заметить изменение ситуации в системе по одному взгляду на панель.

Рис. 3. Предустановленные виджеты на вкладке «Дашборд»

Мониторинг AD

«СёрчИнформ SIEM» делает «снимки» состояния AD через выбранные промежутки. Детальное сравнение снимков показывает изменения в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.

Рис. 4. Сравнение снимков AD, сделанных в разное время в течение одного дня

Просмотр событий на карте инцидентов

Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет определить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).

Рис. 5. Детализация выбранного ПК с указанием количества инцидентов по правилам

Вычитка событий из любого количества источников данных

«СёрчИнформ SIEM» контролирует любое количество источников данных и выявляет аномалии, угрозы, сбои в оборудовании и попытки несанкционированного доступа, а также сохраняет информацию о работе сети, что позволяет проводить ретроспективные расследования.

Управление правилами корреляции

Правила корреляции можно использовать «из коробки» или настроить под себя. Дополнительная настройка сэкономит время на просмотре событий. Например, по правилу «Статистика входов» программа собирает информацию обо всех входах пользователей сети в ОС и выдает длинный список событий. Разбирать его неудобно, если компания велика. Решить эту проблему поможет разбивка по отделам (она видна в левом меню на рис. 6). Для каждого отдела в «СёрчИнформ SIEM» можно создать правила по статистике входов. В итоге события будут рассортированы, что облегчит анализ и ускорит расследование.

Рис. 6. Список инцидентов по правилу «Статистика входов»

Нормализация инцидентов

«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до более чем 50 полей. Разработчик изначально настроил нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность того или иного поля для события.

Фильтрация, экспорт и вывод инцидентов на печать

Применение фильтров помогает в расследованиях. На вкладках инциденты можно отфильтровать по дате, времени фиксации, имени учетной записи, IP-адресу, тексту, важности события. Фильтрация доступна по любому из имеющихся полей или по их совокупности. Пользователь может получить детализированную информацию по интересующим параметрам, убрав из представления лишние подробности. По любому из правил можно создать отчет для печати или экспорта в другие форматы, например PDF или XLS. Всего форматов экспорта 6.

Рис. 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности

Установка и настройка

Для установки используется единственный дистрибутив, который включает все компоненты, необходимые для работы продукта. Установка сводится к нескольким нажатиям на кнопку «Далее», так что с ней справится даже новичок, который видит такое программное обеспечение впервые. Аналогично происходит и установка обновлений.

В настройке системы тоже нет сложностей. В большинстве случаев администратору нужно указать несколько параметров: служебная учетная запись, электронный ящик, адрес сервера, номер порта.

В «СёрчИнформ SIEM» имеются уведомления о бездействии источников данных. Программа формирует такие уведомления, когда от подключенных источников перестает поступать информация (например, VMwareConnector «молчит» больше суток).

Рис. 8. Настройка уведомлений о бездействии источников

«СёрчИнформ SIEM» позволит вовремя заметить отказ или ошибку системного программного обеспечения, отключение сервера источника данных, аппаратные, программные и сетевые неполадки.

Работа с продуктом

Интерфейс «СёрчИнформ SIEM» по расположению вкладок и рабочих областей напоминает продукты из семейства Microsoft Office, поэтому ориентироваться в нем просто.

В верхней части окна расположена полоса вкладок, которые делятся на три смысловые группы: настройка и управление («Меню» и «Администрирование»), основной функционал («Правила» и «Инциденты») и графические представления («Карта инцидентов», «Сканер сети», «Дашборд»).

На видео ниже показан общий вид «СёрчИнформ SIEM»: работа во вкладках «Правила», «Карта инцидентов», «Дашборд», элементы управления системой во вкладке «Администрирование».

Вкладка «Правила»

Здесь администратор может настраивать правила корреляции и просматривать инциденты по ним. В системе имеется более 300 предустановленных правил, которые начинают работать сразу после запуска «СёрчИнформ SIEM». При желании можно создавать новые через «Мастер добавления правил».

Рис. 9. Добавление правила «Прочие события Syslog»

Вкладка «Инциденты»

На этой вкладке администратор может посмотреть срабатывания правил за выбранный период (вчера, неделю назад). На цветных плитках показывается число непросмотренных инцидентов (в правом верхнем углу) и их общее количество по правилу (в левом верхнем углу). Если нужны подробности — например, когда и на каком компьютере имели место попытки подбора пароля, — можно открыть описания инцидентов в виде таблицы. Для этого достаточно нажать на плитку с нужным правилом.

Рис. 10. Вкладка «Инциденты»

На примере ниже видно, как происходит работа на вкладке. Показаны все случаи, попавшие под правило «Доступ к почте не владельцем» в заданном интервале, карточка отдельного инцидента с подробным описанием.

Вкладка «Карта инцидентов»

Вкладка «Карта инцидентов» позволяет администратору увидеть все ПК и пользователей в системе с привязкой к инцидентам и определить проблемные точки. Например, можно отфильтровать компьютеры, чтобы отобразить только те, по которым за день было больше 10 000 инцидентов.

Карта масштабируется, для удобства можно скрывать на ней всех или выбранных пользователей, компьютеры. Это упрощает анализ ситуации в крупных компаниях с большим количеством сотрудников за ПК.

Вкладка «Сканер сети»

На этой вкладке появляются результаты сканирования сети в обычном (тип, MAC- и IP-адрес устройства) и углубленном режимах (+домен и операционная система, открытые порты и пр.). Визуально отчет напоминает «ромашку». В центре отображается диапазон отсканированных IP-адресов и общее количество обнаруженных устройств и портов. На «лепестках» – сами устройства с информацией о них во всплывающем окне.

Также администратор может просмотреть количество принтеров или роутеров в сети, количество открытых портов по номерам, собрать все ПК в группы по IP-адресам для более удобного анализа (например, «Бухгалтерия», «Отдел продаж»). Если в сети появятся новые устройства, то они автоматически попадут в папку «Без группы».

Рис. 11. Сгруппированные устройства на сканере сети

Вкладка «Дашборд»

«Дашборд» позволяет увидеть четкую картину всех процессов и событий в ИТ-инфраструктуре. В системе имеется 11 шаблонов виджетов, на основе которых можно создавать новые. Доступны настройка частоты обновления данных на них (от 1 минуты до 1 часа) и отслеживание изменений в диапазоне от одного дня до года. Настраивать можно все виджеты сразу или по отдельности.

«Дашборд» позволяет администратору отследить инциденты по горячему следу или в динамике. Например, есть возможность определить дни, когда на ПК было обнаружено больше всего вирусов (возможно, e-mail адреса компании попали в фишинговую рассылку с вредоносами), или вычислить самых проблемных пользователей за октябрь (более 50 000 инцидентов).

Системные требования

Минимальные требования для установки сервера SIEM:

Требования формируются в зависимости от разветвленности и размера ИТ-инфраструктуры компании, которая будет использовать программу.

Хотя разработчик не предлагает готовое программно-аппаратное решение, при соблюдении рекомендаций программа стабильно работает и в виртуальной, и в аппаратной средах.

Лицензирование

Лицензии предоставляются по количеству пользователей, компьютеров и устройств. Раздачу лицензий ведет DataCenter. Тип лицензирования зависит от коннектора.

Рис. 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter

Каждый коннектор использует свои лицензии независимо от другого. Это означает, что общее число купленных лицензий, например 125, распределится следующим образом: каждый установленный коннектор получит по 125 лицензий для контроля пользователей, ПК и устройств.

Такой вариант лицензирования не ограничивает производительность системы, поскольку не зависит от количества событий в секунду.

Выводы

«СёрчИнформ SIEM» обладает широкой функциональностью и понятным интерфейсом. Графические представления упрощают контроль состояния ИТ-инфраструктуры, ускоряют поиск инцидентов и расследования по ним.

Доступно бесплатное тестирование полнофункциональной версии «СёрчИнформ SIEM» на инфраструктуре заказчика.


Достоинства:

  • Быстрая и простая настройка – правила корреляции начинают работать сразу после установки системы.
  • Легкая интеграция с DLP «СёрчИнформ КИБ» для углубленного расследования обнаруженных нарушений.
  • Широкие возможности мониторинга общего состояния сети, узлов, программного обеспечения и оборудования, пользователей, а также возможность глубокого анализа Active Directory.
  • Простое и понятное лицензирование.
  • Разработка и техническая поддержка находятся в РФ, что ускоряет решение вопросов по работе с системой.
  • Система сертифицирована ФСТЭК и внесена в Единый реестр российского ПО.

Недостатки:

  • Нет встроенных правил поведенческого анализа.
  • Управление только из приложения (нет web-интерфейса).
  • Встроенный сканер сети не обладает функцией сканирования уязвимостей.
  • Требуются лицензии на стороннее ПО (серверная ОС Windows).

2018: Включение в Реестр отечественного ПО

21 сентября 2018 года компания «СёрчИнформ» сообщила, что SIEM-система «СерчИнформ» признана соответствующей всем требованиям регулятора и рекомендована для закупки государственными организациями и компаниями с существенной долей государственного участия. Решение о включении ПО в Реестр было принято на заседании Экспертного совета по российскому ПО при Минкомсвязи России.

Реестр отечественного ПО существует с начала 2016 года с целью расширения использования российских программ и оказания государственной поддержки правообладателям. Это значит, что госкомпании обязаны в первую очередь искать необходимые им программные продукты в этом перечне, пояснили в «СерчИнформ».

«
«Включение SIEM-системы в Реестр отечественного ПО – событие закономерное. Мы создавали «СёрчИнформ SIEM» на основе конкретных запросов клиентов, в том числе госорганизаций. Наш продукт отличается от иностранных аналогов не только российским происхождением, но и функционалом. Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки».
»

Со слов разработчика, «СёрчИнформ SIEM» имеет массу универсальных, готовых к использованию политик безопасности, выявляющих нерегламентированное использование ИТ-инфраструктуры, махинации с учетными записями, попытки проникновения в корпоративные системы и множество других критичных событий информационной безопасности. В «СёрчИнформ SIEM» упор делается на возможность создать собственные правила алертов или кастомизировать политики, предоставляемые компанией-разработчиком.

2017

Ноябрьское обновление

Компания «СёрчИнформ» 22 ноября 2017 года представила очередной релиз своей SIEM-системы. Свежая версия «СёрчИнформ SIEM» обеспечивает полноценный контроль событий безопасности на серверах и конечных устройствах с ОС Linux. Карта инцидентов открывает ИТ и ИБ-специалистам доступ к актуальной, непрерывно обновляемой информации об активах и состоянии корпоративной «экосистемы».

Система «СёрчИнформ SIEM», интерфейс, ноябрь 2017 года

Система мониторинга и анализа событий безопасности «СёрчИнформ SIEM» поставляется с готовым набором правил, которые автоматизируют аудит подозрительной активности в ИТ-инфраструктуре. Очередная версия SIEM-системы дополнена предустановленными политиками безопасности для Linux-серверов и рабочих станций.

Обновленная «СёрчИнформ SIEM» предупреждает о входе в систему с правами суперпользователя (правами root), неудачных попытках авторизации, ошибках SSH. Система берет под контроль создание и назначение прав учетным записям, регистрирует изменения паролей и многое другое.

Среди добавленных правил — фильтры для событий безопасности почтовых серверов Postfix, которые «собираются» в Unix-подобных системах. Предустановленные политики безопасности предупредят о неудачных попытках аутентификации, входах из неизвестных источников, событиях с неизвестным пользователем, ошибках SSL-соединений и других подозрительных событиях.

Обновленная система «СёрчИнформ SIEM» включает правила для аудита операций с файлами и директориями FTP-серверов vsftpd – официального FTP-ядра Linux. Из 73 правил, добавленных в последнем релизе «СёрчИнформ SIEM», 45 – контролируют Linux-системы.

«СёрчИнформ SIEM» также дополнена источниками и политиками безопасности для событий HTTP-серверов с кроссплатформенным ПО Apache, среды виртуализации VMware, серверов Oracle, сетевых устройств Cisco, устройств комплексной сетевой безопасности FortiGate.

Кроме того, разработчики дополнили функциональность «СёрчИнформ SIEM» наглядной картой инцидентов, которая отражает состояние корпоративной системы в текущий момент времени. На интерактивной карте отображаются серверы, пользователи и ПК компании с количеством инцидентов. Выбрав в «дайджесте» конкретного пользователя или компьютер, ИТ- или ИБ-специалист сможет в один клик перейти к развернутым правилам, по которым зафиксирован инцидент, и описанию угрозы.

Апрельское обновление

4 апреля 2017 года компания «СёрчИнформ» объявила о выходе очередной версии «СёрчИнформ SIEM», дополненной новой функциональностью, в частности поддержкой формата Syslog.

В «СёрчИнформ SIEM» реализованы преднастроенные правила и возможность создавать собственные правила обработки данных. Доступна настройка фильтров обработки по типам, статусам, источникам и тексту сообщения. При создании правил допустимо использование регулярных выражений и их опций. Таким образом возможно создать уникальные настройки системы для каждой прикладной задачи.

Среди предустановленных категорий событий есть готовые фильтры для:

  • События ядра операционной системы
  • События пользовательского уровня
  • События почтовых систем
  • События системных демонов
  • События безопасности и авторизации
  • Внутренние события Syslog
  • События протокола построчной печати
  • События новостного протокола
  • События подсистемы UUCP
  • События сервисов времени
  • События FTP-демонов
  • События подсистем NTP
  • События журналирования
  • Предупреждения журналирования
  • События сервисов планирования
  • События системы «КИБ Серчинформ» в формате Syslog


«СёрчИнформ SIEM» дополнена уникальным коннектором, который позволяет работать с модулем учета рабочего времени. Коннектор имеет преднастроенные правила для выявления активности сотрудников вне регламента, а также предупреждает об активности давно отсутствовавших пользователей. Настройка коннектора не требует долгой интеграции – источником данных служат агенты «КИБ Сёрчинформ», отслеживающие рабочее время сотрудников.

2016: Анонсирование

22 ноября 2016 года компания «СёрчИнформ» объявила о выпуске собственной SIEM-системы «СёрчИнформ SIEM».

«СёрчИнформ SIEM» – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает заинтересованных лиц.

Все инциденты хранятся в собственной базе данных, что помогает формировать отчеты и выполнять поиск за все время функционирования системы. Связка «СёрчИнформ SIEM» – DLP-система «КИБ СёрчИнформ» помогает детализировать нарушения и проводить анализ инцидентов в мельчайших подробностях.

Последовательность действий SIEM в системе, (2016)

Источники событий для системы – журналы Active Directory, Windows Event Log, антивирусы, почтовые серверы Exchange, СУБД, операции с файлами на файл-серверах и компьютерах пользователей. Список источников будет расширяться. Программа позволяет получить результат сразу же после установки, так как имеет набор предустановленных правил и не требует базовой доработки.

«
Мы начали разработку «СёрчИнформ SIEM», так как появился запрос от наших клиентов. К концу 2016 года некоторые крупные заказчики планируют отказаться от подобных зарубежных решений и перейти на отечественные. Но хороших предложений от российских производителей на рынке не хватает. Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки». Кроме того, приемлемая стоимость системы делает ее доступной даже для среднего бизнеса. «СёрчИнформ SIEM» – это принципиально новая система, не копия и не аналог того, что уже представлено на рынке.

Лев Матвеев, председатель совета директоров «СёрчИнформ»
»


Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
  • не восстановить данные.

Скриншот окна системы, (2016)

СёрчИнформ SIEM помогает централизовать сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов в реальном времени

Система унифицирует события и оценивает их значимость: визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

Технология работает по правилам, которые содержат перечень условий и учитывают разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

СёрчИнформ SIEM ведет мониторинг событий в реальном времени, это помогает обрабатывать их сразу при поступлении в систему. Так выполняется главное назначение: создание условий для быстрого реагирования службой безопасности на инциденты.

Что выявит система:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Вирусные эпидемии или отдельные вирусные заражения.
  • Попытки несанкционированного доступа к конфиденциальной информации.
  • Мошенничество и целевые атаки (APT).
  • Ошибки и сбои в работе информационных систем.
  • Ошибки конфигураций в средствах защиты и информационных системах.



ПРОЕКТЫ (8) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (17)
ОТРАСЛИ (4)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ARinteg (АРинтег) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Данные не найдены

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год
Данные не найдены