СёрчИнформ SIEM

Продукт
Название базовой системы (платформы): Контур информационной безопасности SearchInform (КИБ Сёрчинформ)
Разработчики: SearchInform (СёрчИнформ, Новые Поисковые Технологии, НПТ)
Дата премьеры системы: 2016/11/22
Дата последнего релиза: 2019/11
Технологии: ИБ - Система обнаружения мошенничества (фрод),  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

«СёрчИнформ SIEM» (Security Information and Event Management) – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них специалистов по безопасности. Система позволяет получить результат сразу же после установки, так как имеет широкий набор предустановленных правил и не требует базовой доработки.

2020: Обзор «СёрчИнформ SIEM»

В последние годы отечественные SIEM-системы активно развиваются. Дополнительный стимул они получили благодаря политике импортозамещения. Несмотря на то, что в российских компаниях продукты этого класса пока не слишком распространены, интерес к ним растет. По данным исследования «СёрчИнформ», за 2018 год доля SIEM-систем среди ИБ-продуктов, которые используют государственные, частные и некоммерческие организации, выросла с 7% до 9%.

Положительная динамика объясняется растущим спросом на SIEM со стороны малого и среднего бизнеса (СМБ), поскольку крупные компании освоили этот продукт раньше. В приоритете у СМБ — простота внедрения и обслуживания SIEM-систем.

Рассмотрим подробнее одно из решений этого класса - «СёрчИнформ SIEM».

Архитектура

Рис. 1. Схема работы «СёрчИнформ SIEM»
Рис. 1. Схема работы «СёрчИнформ SIEM»

В «СёрчИнформ SIEM» информация из источников событий попадает на сервер SIEM, который отвечает за обработку, корреляцию и формирование ИБ-инцидентов. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. Сбор и анализ событий в системе обеспечивают коннекторы.

Полный список коннекторов по состоянию на февраль 2020 года выглядит так:

  • PostgreSQLConnector вычитывает и анализирует протоколы PostgreSQL из журнала Windows «Приложения»;
  • ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory;
  • 1CConnector вычитывает журналы 1C;
  • GPOConnector отслеживает изменения в настройках объектов групповых политик;
  • WinEventConnector вычитывает и анализирует журнал Windows Event Log, контроллеры доменов и серверов Windows, а также информацию об учетных записях (по протоколу LDAP). Поддерживает контроллеры доменов на базе Windows Server 2008 R2 и выше;
  • ESEventConnector вычитывает базу данных FileController, которая содержит информацию о действиях пользователей с файлами;
  • ProgramConnector собирает информацию об активности пользователей, подключаясь к базам данных ProgramController;
  • DeviceConnector вычитывает базу данных DeviceController, которая содержит информацию о копируемых файлах, подключаемых внешних устройствах;
  • SQLAuditConnector вычитывает и анализирует протоколы Microsoft SQL из журнала Windows «Приложения»;
  • OracleConnector анализирует протоколы СУБД Oracle;
  • KavEventConnector, SymantecConnector и McafeeConnector осуществляют подключения к базам данных Kaspersky Security Center, Symantec EPM и антивируса McAfee соответственно, а также чтение их записей;
  • ExchangeConnector и DominoConnector вычитывают логи почтовых серверов Exchange и IBM Domino соответственно;
  • SyslogConnector обеспечивает получение событий Syslog;
  • VMwareConnector обеспечивает получение событий VMware ESXi;
  • CiscoConnector обеспечивает получение событий сетевых устройств Cisco;
  • FortigateConnector обеспечивает получение событий устройства комплексной сетевой безопасности FortiGate;
  • PaloAltoConnector и CheckPointConnector обеспечивают получение событий межсетевых экранов Palo Alto и Check Point соответственно;
  • LinuxConnector обеспечивает получение событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon;
  • ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET;
  • SIDLPConnector обеспечивает получение событий приложений «СёрчИнформ КИБ»;
  • CWAConnector вычитывает журналы 1C и контрольно-весовых аппаратов.

В зависимости от функциональных особенностей источника сбор данных происходит по трем сценариям: прямое подключение к источнику, самостоятельная отправка данных от источника к серверу, сбор через агента. Это позволяет применять «СёрчИнформ SIEM» в компаниях с распределенной структурой.

Информация по обнаруженным инцидентам хранится в базе данных MongoDB.

Функциональные возможности

Создание правил кросс-корреляции

Функция реализована по принципу «настрой и пользуйся». Обычно создание правил кросс-корреляции требует опыта в написании скриптов и навыков программирования. В «СёрчИнформ SIEM» все сводится к настройке в одном окне условий, по которым разные события объединяются в инцидент.

Рис. 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила
Рис. 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила

Правила кросс-корреляции позволят настроить систему более тонко, чтобы она могла «увидеть» подозрительный след во внешне безобидных событиях (подключение нового email-адреса, логин/логаут в Active Directory). Например, один из пользователей залогинился в AD и через некоторое время сделал логаут. Пока все логично. А если между логином и логаутом прошло совсем немного времени, и в это время пользователь менял пароль доступа к рабочей базе данных SQL? Это может быть тревожным звонком. Здесь в дело вступает пользовательское правило кросс-корреляции: формирует соответствующий инцидент и дает возможность администратору принять меры и предотвратить проблемы в дальнейшем.

Обнаружение новых устройств и открытых портов на сканере сети

Сканер «СёрчИнформ SIEM» позволяет определить количество компьютеров, роутеров, свитчей, сетевых принтеров в сети, обнаружить открытые порты и отследить попытки несанкционированного подключения нового оборудования.

Визуализация инцидентов на контрольных панелях

Настраиваемые «дашборды» показывают актуальную статистику по инцидентам в удобном для восприятия формате. Администратор может заметить изменение ситуации в системе по одному взгляду на панель.

Рис. 3. Предустановленные виджеты на вкладке «Дашборд»
Рис. 3. Предустановленные виджеты на вкладке «Дашборд»

Мониторинг AD

«СёрчИнформ SIEM» делает «снимки» состояния AD через выбранные промежутки. Детальное сравнение снимков показывает количество изменений в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.

Рис. 4. Сравнение снимков AD, сделанных в разное время в течение одного дня
Рис. 4. Сравнение снимков AD, сделанных в разное время в течение одного дня

Просмотр событий на карте инцидентов

Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет определить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).

Рис. 5. Детализация выбранного ПК с указанием количества инцидентов по правилам
Рис. 5. Детализация выбранного ПК с указанием количества инцидентов по правилам

Вычитка событий из любого количества источников данных

«СёрчИнформ SIEM» контролирует любое количество источников данных и выявляет аномалии, угрозы, сбои в оборудовании и попытки несанкционированного доступа, а также сохраняет информацию о работе сети, что позволяет проводить ретроспективные расследования.

Управление правилами корреляции

Правила корреляции можно использовать «из коробки» или настроить под себя. Дополнительная настройка сэкономит время на просмотре событий. Например, по правилу «Статистика входов» программа собирает информацию обо всех входах пользователей сети в ОС и выдает длинный список событий. Разбирать его неудобно, если компания велика. Решить эту проблему поможет разбивка по отделам (она видна в левом меню на рис. 6). Для каждого отдела в «СёрчИнформ SIEM» можно создать правила по статистике входов. В итоге события будут рассортированы, что облегчит анализ и ускорит расследование.

Рис. 6. Список инцидентов по правилу «Статистика входов»
Рис. 6. Список инцидентов по правилу «Статистика входов»

Нормализация инцидентов

«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до 50 полей. Разработчик изначально настроил нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность определенного поля для события.

Фильтрация, экспорт и вывод инцидентов на печать

Применение фильтров помогает в расследованиях. На вкладках инциденты можно отфильтровать по дате, времени фиксации, имени учетной записи, IP-адресу, тексту, важности события. Пользователь может получить детализированную информацию по интересующим параметрам, убрав из представления лишние подробности. По любому из правил можно создать отчет для печати или экспорта в другие форматы, например PDF или XLS.

Рис. 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности
Рис. 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности

Установка и настройка

Для установки используется единственный дистрибутив, который включает все компоненты, необходимые для работы продукта. Установка сводится к нескольким нажатиям на кнопку «Далее», так что с ней справится даже новичок, который видит такое программное обеспечение впервые. Аналогично происходит и установка обновлений.

В настройке системы тоже нет сложностей. В большинстве случаев администратору нужно указать несколько параметров: служебная учетная запись, электронный ящик, адрес сервера, номер порта.

В «СёрчИнформ SIEM» имеются уведомления о бездействии источников данных. Программа формирует такие уведомления, когда от них перестает поступать информация (например, VMwareConnector «молчит» больше суток).

Рис. 8. Настройка уведомлений о бездействии источников
Рис. 8. Настройка уведомлений о бездействии источников

«СёрчИнформ SIEM» позволит вовремя заметить отказ или ошибку системного программного обеспечения, отключение сервера источника данных, аппаратные, программные и сетевые неполадки.

Работа с продуктом

Интерфейс «СёрчИнформ SIEM» по расположению вкладок и рабочих областей напоминает продукты из семейства Microsoft Office, поэтому ориентироваться в нем просто.

В верхней части окна расположена полоса вкладок, которые делятся на три смысловые группы: настройка и управление («Меню» и «Администрирование»), основной функционал («Правила» и «Инциденты») и графические представления («Карта инцидентов», «Сканер сети», «Дашборд»).

Вкладка «Правила»

Здесь администратор может настраивать правила корреляции и просматривать инциденты по ним. В системе имеется более 300 предустановленных правил, которые начинают работать сразу после запуска «СёрчИнформ SIEM». При желании можно создавать новые через «Мастер добавления правил».

Рис. 9. Добавление правила «Прочие события Syslog»
Рис. 9. Добавление правила «Прочие события Syslog»

Вкладка «Инциденты»

На этой вкладке администратор может посмотреть срабатывания правил за выбранный период (вчера, неделю назад). На цветных плитках показывается число непросмотренных инцидентов (в правом верхнем углу) и их общее количество по правилу (в левом верхнем углу). Если нужны подробности — например, когда и на каком компьютере имели место попытки подбора пароля, — можно открыть описания инцидентов в виде таблицы. Для этого достаточно нажать на плитку с нужным правилом.

Рис. 10. Вкладка «Инциденты»
Рис. 10. Вкладка «Инциденты»

Вкладка «Карта инцидентов»

Вкладка «Карта инцидентов» позволяет администратору увидеть все ПК и пользователей в системе с привязкой к инцидентам и определить проблемные точки. Например, можно отфильтровать компьютеры, по которым за день было больше 10 000 инцидентов.

Карта масштабируется, для удобства можно скрывать на ней всех пользователей или все компьютеры. Это упрощает анализ ситуации в крупных компаниях с большим количеством сотрудников за ПК.

Вкладка «Сканер сети»

На этой вкладке появляются результаты сканирования сети в обычном (тип, MAC- и IP-адрес устройства) и углубленном режимах (+домен и операционная система). Визуально отчет напоминает «ромашку». В центре отображается диапазон отсканированных IP-адресов и общее количество обнаруженных устройств и портов. На «лепестках» – сами устройства с информацией о них во всплывающем окне.

Также администратор может просмотреть количество принтеров или роутеров в сети, количество открытых портов по номерам, собрать все ПК в группы по IP-адресам для более удобного анализа (например, «Бухгалтерия», «Отдел продаж»). Если в сети появятся новые устройства, то они автоматически попадут в папку «Без группы».

Рис. 11. Сгруппированные устройства на сканере сети
Рис. 11. Сгруппированные устройства на сканере сети

Вкладка «Дашборд»

«Дашборд» позволяет увидеть четкую картину всех процессов и событий в ИТ-инфраструктуре. В системе имеется 11 шаблонов виджетов, на их основе можно создавать новые. Доступны настройка частоты обновления данных на них (от 1 минуты до 1 часа) и отслеживание изменений в диапазоне от одного дня до года. Настраивать можно все виджеты сразу или по отдельности.

«Дашборд» позволяет администратору отследить инциденты по горячему следу или в динамике. Например, есть возможность определить дни, когда на ПК было обнаружено больше всего вирусов (возможно, e-mail адреса компании попали в фишинговую рассылку с вредоносами), или вычислить самых проблемных пользователей за октябрь (более 50 000 инцидентов).

Системные требования

Минимальные требования для установки сервера SIEM:

Требования формируются в зависимости от разветвленности и размера ИТ-инфраструктуры компании, которая будет использовать программу.

Хотя разработчик не предлагает готовое программно-аппаратное решение, при соблюдении рекомендаций программа стабильно работает и в виртуальной, и в аппаратной средах.

Лицензирование

Лицензии предоставляются по количеству пользователей, компьютеров и устройств. Раздачу лицензий ведет DataCenter. Тип лицензирования зависит от коннектора.

Рис. 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter
Рис. 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter

Каждый коннектор использует свои лицензии независимо от другого. Это означает, что общее число купленных лицензий, например 125, распределится следующим образом: каждый установленный коннектор получит по 125 лицензий для контроля пользователей, ПК и устройств.

Такой вариант лицензирования не ограничивает производительность системы, поскольку не зависит от количества событий в секунду.

Выводы

«СёрчИнформ SIEM» обладает широкой функциональностью и понятным интерфейсом. Графические представления упрощают контроль состояния ИТ-инфраструктуры, ускоряют поиск инцидентов и расследования по ним.

Достоинства:

  • Быстрая и простая настройка – правила корреляции начинают работать сразу после установки системы.
  • Легкая интеграция с DLP «СёрчИнформ КИБ» для углубленного расследования обнаруженных нарушений.
  • Широкие возможности мониторинга общего состояния сети, узлов, программного обеспечения и оборудования, пользователей, а также возможность глубокого анализа Active Directory.
  • Простое и понятное лицензирование.
  • Разработка и техническая поддержка находятся в РФ, что ускоряет решение вопросов по работе с системой.
  • Система сертифицирована ФСТЭК и внесена в Единый реестр российского ПО.

Недостатки:

  • Нет встроенных правил поведенческого анализа.
  • Управление только из приложения (нет web-интерфейса).
  • Нет встроенного сканера угроз.

2018: Включение в Реестр отечественного ПО

21 сентября 2018 года компания «СёрчИнформ» сообщила, что SIEM-система «СерчИнформ» признана соответствующей всем требованиям регулятора и рекомендована для закупки государственными организациями и компаниями с существенной долей государственного участия. Решение о включении ПО в Реестр было принято на заседании Экспертного совета по российскому ПО при Минкомсвязи России.

Реестр отечественного ПО существует с начала 2016 года с целью расширения использования российских программ и оказания государственной поддержки правообладателям. Это значит, что госкомпании обязаны в первую очередь искать необходимые им программные продукты в этом перечне, пояснили в «СерчИнформ».

«
«Включение SIEM-системы в Реестр отечественного ПО – событие закономерное. Мы создавали «СёрчИнформ SIEM» на основе конкретных запросов клиентов, в том числе госорганизаций. Наш продукт отличается от иностранных аналогов не только российским происхождением, но и функционалом. Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки».
»

Со слов разработчика, «СёрчИнформ SIEM» имеет массу универсальных, готовых к использованию политик безопасности, выявляющих нерегламентированное использование ИТ-инфраструктуры, махинации с учетными записями, попытки проникновения в корпоративные системы и множество других критичных событий информационной безопасности. В «СёрчИнформ SIEM» упор делается на возможность создать собственные правила алертов или кастомизировать политики, предоставляемые компанией-разработчиком.

2017

Ноябрьское обновление

Компания «СёрчИнформ» 22 ноября 2017 года представила очередной релиз своей SIEM-системы. Свежая версия «СёрчИнформ SIEM» обеспечивает полноценный контроль событий безопасности на серверах и конечных устройствах с ОС Linux. Карта инцидентов открывает ИТ и ИБ-специалистам доступ к актуальной, непрерывно обновляемой информации об активах и состоянии корпоративной «экосистемы».

Система «СёрчИнформ SIEM», интерфейс, ноябрь 2017 года
Система «СёрчИнформ SIEM», интерфейс, ноябрь 2017 года

Система мониторинга и анализа событий безопасности «СёрчИнформ SIEM» поставляется с готовым набором правил, которые автоматизируют аудит подозрительной активности в ИТ-инфраструктуре. Очередная версия SIEM-системы дополнена предустановленными политиками безопасности для Linux-серверов и рабочих станций.

Обновленная «СёрчИнформ SIEM» предупреждает о входе в систему с правами суперпользователя (правами root), неудачных попытках авторизации, ошибках SSH. Система берет под контроль создание и назначение прав учетным записям, регистрирует изменения паролей и многое другое.

Среди добавленных правил — фильтры для событий безопасности почтовых серверов Postfix, которые «собираются» в Unix-подобных системах. Предустановленные политики безопасности предупредят о неудачных попытках аутентификации, входах из неизвестных источников, событиях с неизвестным пользователем, ошибках SSL-соединений и других подозрительных событиях.

Обновленная система «СёрчИнформ SIEM» включает правила для аудита операций с файлами и директориями FTP-серверов vsftpd – официального FTP-ядра Linux. Из 73 правил, добавленных в последнем релизе «СёрчИнформ SIEM», 45 – контролируют Linux-системы.

«СёрчИнформ SIEM» также дополнена источниками и политиками безопасности для событий HTTP-серверов с кроссплатформенным ПО Apache, среды виртуализации VMware, серверов Oracle, сетевых устройств Cisco, устройств комплексной сетевой безопасности FortiGate.

Кроме того, разработчики дополнили функциональность «СёрчИнформ SIEM» наглядной картой инцидентов, которая отражает состояние корпоративной системы в текущий момент времени. На интерактивной карте отображаются серверы, пользователи и ПК компании с количеством инцидентов. Выбрав в «дайджесте» конкретного пользователя или компьютер, ИТ- или ИБ-специалист сможет в один клик перейти к развернутым правилам, по которым зафиксирован инцидент, и описанию угрозы.

Апрельское обновление

4 апреля 2017 года компания «СёрчИнформ» объявила о выходе очередной версии «СёрчИнформ SIEM», дополненной новой функциональностью, в частности поддержкой формата Syslog.

В «СёрчИнформ SIEM» реализованы преднастроенные правила и возможность создавать собственные правила обработки данных. Доступна настройка фильтров обработки по типам, статусам, источникам и тексту сообщения. При создании правил допустимо использование регулярных выражений и их опций. Таким образом возможно создать уникальные настройки системы для каждой прикладной задачи.

Среди предустановленных категорий событий есть готовые фильтры для:

  • События ядра операционной системы
  • События пользовательского уровня
  • События почтовых систем
  • События системных демонов
  • События безопасности и авторизации
  • Внутренние события Syslog
  • События протокола построчной печати
  • События новостного протокола
  • События подсистемы UUCP
  • События сервисов времени
  • События FTP-демонов
  • События подсистем NTP
  • События журналирования
  • Предупреждения журналирования
  • События сервисов планирования
  • События системы «КИБ Серчинформ» в формате Syslog


«СёрчИнформ SIEM» дополнена уникальным коннектором, который позволяет работать с модулем учета рабочего времени. Коннектор имеет преднастроенные правила для выявления активности сотрудников вне регламента, а также предупреждает об активности давно отсутствовавших пользователей. Настройка коннектора не требует долгой интеграции – источником данных служат агенты «КИБ Сёрчинформ», отслеживающие рабочее время сотрудников.

2016: Анонсирование

22 ноября 2016 года компания «СёрчИнформ» объявила о выпуске собственной SIEM-системы «СёрчИнформ SIEM».

«СёрчИнформ SIEM» – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает заинтересованных лиц.

Все инциденты хранятся в собственной базе данных, что помогает формировать отчеты и выполнять поиск за все время функционирования системы. Связка «СёрчИнформ SIEM» – DLP-система «КИБ СёрчИнформ» помогает детализировать нарушения и проводить анализ инцидентов в мельчайших подробностях.

Последовательность действий SIEM в системе, (2016)
Последовательность действий SIEM в системе, (2016)

Источники событий для системы – журналы Active Directory, Windows Event Log, антивирусы, почтовые серверы Exchange, СУБД, операции с файлами на файл-серверах и компьютерах пользователей. Список источников будет расширяться. Программа позволяет получить результат сразу же после установки, так как имеет набор предустановленных правил и не требует базовой доработки.

«
Мы начали разработку «СёрчИнформ SIEM», так как появился запрос от наших клиентов. К концу 2016 года некоторые крупные заказчики планируют отказаться от подобных зарубежных решений и перейти на отечественные. Но хороших предложений от российских производителей на рынке не хватает. Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки». Кроме того, приемлемая стоимость системы делает ее доступной даже для среднего бизнеса. «СёрчИнформ SIEM» – это принципиально новая система, не копия и не аналог того, что уже представлено на рынке.

Лев Матвеев, председатель совета директоров «СёрчИнформ»
»


Сбор и обработка событий от различных источников

Отсутствие контроля всех событий в инфраструктуре чревато рисками:

  • «пропустить» инцидент;
  • не обнаружить деталей и не установить причин (удалены журналы событий, отключена антивирусная защита и т.д.);
  • не восстановить данные.

Скриншот окна системы, (2016)
Скриншот окна системы, (2016)

СёрчИнформ SIEM помогает централизовать сбор событий в инфраструктуре компании. Система приводит журналы всех источников к единому формату для упрощения их анализа.

Анализ событий и разбор инцидентов в реальном времени

Система унифицирует события и оценивает их значимость: визуализирует информацию с акцентом на важные и критические события.

Корреляция и обработка по правилам

Технология работает по правилам, которые содержат перечень условий и учитывают разные сценарии действий.

Автоматическое оповещение и инцидент-менеджмент

СёрчИнформ SIEM ведет мониторинг событий в реальном времени, это помогает обрабатывать их сразу при поступлении в систему. Так выполняется главное назначение: создание условий для быстрого реагирования службой безопасности на инциденты.

Что выявит система:

  • Сетевые атаки во внутреннем и внешнем периметрах.
  • Вирусные эпидемии или отдельные вирусные заражения.
  • Попытки несанкционированного доступа к конфиденциальной информации.
  • Мошенничество и целевые атаки (APT).
  • Ошибки и сбои в работе информационных систем.
  • Ошибки конфигураций в средствах защиты и информационных системах.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (3)


Подрядчики-лидеры по количеству проектов

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год

  3-D Secure 2.0 (3D-Secure 3DS) - 1 (1, 0)
  InfoWatch Fintech - 1 (1, 0)
  Solar JSOC - 1 (1, 0)
  Другие 0

Подрядчики-лидеры по количеству проектов

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

  Positive Technologies (Позитив Текнолоджиз) (10, 22)
  ArcSight (11, 13)
  Инфосистемы Джет (4, 6)
  R-Vision (Р-Вижн) (2, 6)
  IBM (8, 4)
  Другие (107, 26)

  АйТи Бастион (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Palo Alto Networks (PAN) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год