СёрчИнформ SIEM

Продукт
Название базовой системы (платформы): Контур информационной безопасности SearchInform (КИБ Сёрчинформ)
Разработчики: SearchInform (СёрчИнформ, Новые Поисковые Технологии, НПТ)
Дата премьеры системы: 2016/11/22
Дата последнего релиза: 2017/11/22
Технологии: ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

«СёрчИнформ SIEM» – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них специалистов по безопасности. Система позволяет получить результат сразу же после установки, так как имеет широкий набор предустановленных правил и не требует базовой доработки.

2017

Ноябрьское обновление

Компания «СёрчИнформ» 22 ноября 2017 года представила очередной релиз своей SIEM-системы. Свежая версия «СёрчИнформ SIEM» обеспечивает полноценный контроль событий безопасности на серверах и конечных устройствах с ОС Linux. Карта инцидентов открывает ИТ и ИБ-специалистам доступ к актуальной, непрерывно обновляемой информации об активах и состоянии корпоративной «экосистемы».

Система «СёрчИнформ SIEM», интерфейс, ноябрь 2017 года

Система мониторинга и анализа событий безопасности «СёрчИнформ SIEM» поставляется с готовым набором правил, которые автоматизируют аудит подозрительной активности в ИТ-инфраструктуре. Очередная версия SIEM-системы дополнена предустановленными политиками безопасности для Linux-серверов и рабочих станций.

Обновленная «СёрчИнформ SIEM» предупреждает о входе в систему с правами суперпользователя (правами root), неудачных попытках авторизации, ошибках SSH. Система берет под контроль создание и назначение прав учетным записям, регистрирует изменения паролей и многое другое.

Среди добавленных правил — фильтры для событий безопасности почтовых серверов Postfix, которые «собираются» в Unix-подобных системах. Предустановленные политики безопасности предупредят о неудачных попытках аутентификации, входах из неизвестных источников, событиях с неизвестным пользователем, ошибках SSL-соединений и других подозрительных событиях.

Обновленная система «СёрчИнформ SIEM» включает правила для аудита операций с файлами и директориями FTP-серверов vsftpd – официального FTP-ядра Linux. Из 73 правил, добавленных в последнем релизе «СёрчИнформ SIEM», 45 – контролируют Linux-системы.

«СёрчИнформ SIEM» также дополнена источниками и политиками безопасности для событий HTTP-серверов с кроссплатформенным ПО Apache, среды виртуализации VMware, серверов Oracle, сетевых устройств Cisco, устройств комплексной сетевой безопасности FortiGate.

Кроме того, разработчики дополнили функциональность «СёрчИнформ SIEM» наглядной картой инцидентов, которая отражает состояние корпоративной системы в текущий момент времени. На интерактивной карте отображаются серверы, пользователи и ПК компании с количеством инцидентов. Выбрав в «дайджесте» конкретного пользователя или компьютер, ИТ- или ИБ-специалист сможет в один клик перейти к развернутым правилам, по которым зафиксирован инцидент, и описанию угрозы.

Апрельское обновление

4 апреля 2017 года компания «СёрчИнформ» объявила о выходе очередной версии «СёрчИнформ SIEM», дополненной новой функциональностью, в частности поддержкой формата Syslog.

В «СёрчИнформ SIEM» реализованы преднастроенные правила и возможность создавать собственные правила обработки данных. Доступна настройка фильтров обработки по типам, статусам, источникам и тексту сообщения. При создании правил допустимо использование регулярных выражений и их опций. Таким образом возможно создать уникальные настройки системы для каждой прикладной задачи.

Среди предустановленных категорий событий есть готовые фильтры для:

  • События ядра операционной системы
  • События пользовательского уровня
  • События почтовых систем
  • События системных демонов
  • События безопасности и авторизации
  • Внутренние события Syslog
  • События протокола построчной печати
  • События новостного протокола
  • События подсистемы UUCP
  • События сервисов времени
  • События FTP-демонов
  • События подсистем NTP
  • События журналирования
  • Предупреждения журналирования
  • События сервисов планирования
  • События системы «КИБ Серчинформ» в формате Syslog


«СёрчИнформ SIEM» дополнена уникальным коннектором, который позволяет работать с модулем учета рабочего времени. Коннектор имеет преднастроенные правила для выявления активности сотрудников вне регламента, а также предупреждает об активности давно отсутствовавших пользователей. Настройка коннектора не требует долгой интеграции – источником данных служат агенты «КИБ Сёрчинформ», отслеживающие рабочее время сотрудников.

2016: Анонсирование

22 ноября 2016 года компания «СёрчИнформ» объявила о выпуске собственной SIEM-системы «СёрчИнформ SIEM».

«СёрчИнформ SIEM» – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает заинтересованных лиц.

Все инциденты хранятся в собственной базе данных, что помогает формировать отчеты и выполнять поиск за все время функционирования системы. Связка «СёрчИнформ SIEM» – DLP-система «КИБ СёрчИнформ» помогает детализировать нарушения и проводить анализ инцидентов в мельчайших подробностях.

Последовательность действий SIEM в системе, (2016)

Источники событий для системы – журналы Active Directory, Windows Event Log, антивирусы, почтовые серверы Exchange, СУБД, операции с файлами на файл-серверах и компьютерах пользователей. Список источников будет расширяться. Программа позволяет получить результат сразу же после установки, так как имеет набор предустановленных правил и не требует базовой доработки.

«
Мы начали разработку «СёрчИнформ SIEM», так как появился запрос от наших клиентов. К концу 2016 года некоторые крупные заказчики планируют отказаться от подобных зарубежных решений и перейти на отечественные. Но хороших предложений от российских производителей на рынке не хватает. Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки». Кроме того, приемлемая стоимость системы делает ее доступной даже для среднего бизнеса. «СёрчИнформ SIEM» – это принципиально новая система, не копия и не аналог того, что уже представлено на рынке.

Лев Матвеев, председатель совета директоров «СёрчИнформ»
»


Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
  • не восстановить данные.

Скриншот окна системы, (2016)

СёрчИнформ SIEM помогает централизовать сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов в реальном времени

Система унифицирует события и оценивает их значимость: визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

Технология работает по правилам, которые содержат перечень условий и учитывают разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

СёрчИнформ SIEM ведет мониторинг событий в реальном времени, это помогает обрабатывать их сразу при поступлении в систему. Так выполняется главное назначение: создание условий для быстрого реагирования службой безопасности на инциденты.

Что выявит система:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Вирусные эпидемии или отдельные вирусные заражения.
  • Попытки несанкционированного доступа к конфиденциальной информации.
  • Мошенничество и целевые атаки (APT).
  • Ошибки и сбои в работе информационных систем.
  • Ошибки конфигураций в средствах защиты и информационных системах.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (1)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год

  Solar JSOC - 4 (4, 0)
  FPS.Bio - 4 (4, 0)
  FraudNet - 3 (3, 0)
  FICO Fraud Score - 3 (3, 0)
  НБКИ-AFS (Anti-Fraud Service) - 3 (3, 0)
  Другие 18

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год

  Positive Technologies (Позитив Текнолоджиз) (1, 7)
  ArcSight (1, 4)
  IBM (1, 1)
  Другие (0, 0)

  R-Vision (Р-Вижн) (1, 2)
  ИНИТИ (INITI) (1, 1)
  АйТи (1, 1)
  SkyBox Security (1, 1)
  IBM (1, 1)
  Другие (1, 1)