
Результат
Вы получаете готовое, адаптированное под специфику вашей ИТ-инфраструктуры решение по сбору и корреляции события информационной безопасности.
Почему мы?
- Большой опыт развертывания разного рода SIEM-систем, сертифицированных и с открытым программным кодом, для небольшого бизнеса и для крупного предприятия.
- Подберем оптимальный вариант для вашей компании, проведем пилотное тестирование в тесном взаимодействии с отделом информационной безопасности и ИТ-отделом.
- Окажем услугу быстро и качественно.
Для чего нужна SIEM-система?
- SIEM-система необходима для сбора и анализа событий информационной безопасности при каких-либо аномалиях в сети.
- Данное решение позволяет обрабатывать данные от других развернутых в сети предприятия систем: DLP-системы, межсетевые экраны, маршрутизаторы, сервера, IDS системы, АРМ пользователей. Необходимость анализа логов всех этих систем пропадает. Система автоматически создает оповещения для заинтересованных лиц.
- Позволяет сформировать гибко настраиваемые под запросы специалиста ИБ или руководства отчеты: ежедневные, ежемесячные, по нарушителям, по инцидентам.
- Кроме этого, SIEM-система способна предоставить доказательную базу в случае каких-либо внутренних инцидентов и их расследований.
- Может выступать в роли инструмента при проведении аудитов на соответствие отраслевым стандартам (например, PCI DSS).
Ключевые продукты
1. MaxPatrol SIEM
MaxPatrol SIEM — система выявления инцидентов ИБ

MaxPatrol SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности. Он постоянно пополняется знаниями экспертов Positive Technologies о способах детектирования актуальных угроз и адаптируется к изменениям в защищаемой сети.
Подходит вам, если:
- Хотите выявлять инциденты;
- В инфраструктуре установлено множество разных средств защиты, но нет единой точки мониторинга безопасности;
- Хотите построить SOC или центр ГосСОПКА;
- Нужно обеспечить безопасность объектов КИИ, ИСПДН и/или ГИС;
- Хотите заменить существующее SIEM-решение.
Ключевые преимущества
- Быстро развивается: выходит 2 релиза в год, а команда продукта постоянно расширяется;
- Регулярно получает экспертизу для обнаружения атак: ежемесячно в MaxPatrol SIEM приходят пакеты экспертизы с новыми правилами обнаружения угроз;
- Снижает порог входа в мир SIEM: продукт регулярно упрощается, что снижает затраты специалистов на работу в SIEM.
Свежие знания в MaxPatrol SIEM

Не реже раза в месяц база знаний PT Knowledge Base пополняется пакетами экспертизы с новыми способами детектирования угроз. Пользователи MaxPatrol SIEM автоматически получают пакеты экспертизы из базы знаний.
Примеры пакетов экспертизы: обнаружение продвинутых атак на Active Directory, подозрительных активностей в Linux-системах, атак с тактиками по модели MITRE ATT&CK, аномалий при удаленной работе.
Лидирующее российское решение
Продукт внедрен более чем в 200 промышленных, транспортных и финансовых компаниях, в том числе государственных, и в органах власти. Согласно исследованию IDC, MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM.
Видео с демо ключевых новых фич в MaxPatrol SIEM: https://www.youtube.com/playlist?list=PLEl1NAXHTFNy9WQQ7HiSIgv6-3TL_0wM2
Подробнее о других продуктах Positive Technologies: https://infokube.ru/lineyka-produktov-positive-technologies/
2. НПО «Эшелон» SIEM-система «КОМРАД»

SIEM-решение «КОМРАД» организует оперативное оповещение и реагирование как на внутренние, так и на внешние угрозы безопасности автоматизированных систем. Помимо этого, применение «КОМРАД» эффективно в целях контроля выполнения требований по защите информации.
ПО «КОМРАД» имеет сертификаты Минобороны и ФСТЭК и включено в реестр российского ПО.
Преимущества SIEM-системы «КОМРАД»:
- высокая производительность: до 20 000 EPS;
- возможность гибкой настройки и подключения нестандартных источников событий информационной безопасности: в составе системы имеется универсальный адаптер, позволяющий подключить любой источник событий;
- возможность масштабирования решения и создания системы мониторинга информационной безопасности любого масштаба;
- широкий спектр поддерживаемых отечественных СЗИ;
- оперативное оповещение (SMS, e-mail) и реагирование на внутренние и внешние угрозы безопасности автоматизированной системы;
- контроль выполнения заданных требований по безопасности информации, сбор статистики и построение отчетов по защищенности.
- настраиваемые визуальные показатели состояния информационной системы для любого уровня сотрудников организации;
- интуитивно понятный интерфейс пользователя.
3. RuSiem
RuSIEM включает корреляцию в реальном времени, визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами и отчеты.
Возможности RuSIEM:
- безлимитное количество подключаемых источников и пользователей (операторов)
- cбор событий с источников
- нормализация событий по единой таксономии
- симптоматика: тегирование событий понятными оператору фразами
- индивидуальные для каждого оператора представления
- поиск и навигация по событиям
- сортировка/группировка и визуализация поиска
- формирование сохраненных запросов оператором для оперативного вывода данных
- рискменеджмент: определение весов событий по их содержанию через симптоматику
- возможность переопределения веса событий оператором
- создание собственных симптомов оператором
- долгосрочное хранение
- навигация по событиям
- отображение на виджетах дашбордов
- построение отчетов
- формирование и отправка отчетов по расписанию
- аутентификация внутренняя/LDAP/гибридная
- ролевая модель доступа
- управление агентами из web интерфейса
- управление другими нодами из web интерфейса
- корреляция в режиме реального времени
- создание новых правил корреляции операторами в графическом конструкторе без написания кода
- использование списков в правилах корреляции
- оповещение в случае срабатывания правила корреляции
- изменение шаблона присылаемых уведомлений оператором
- регистрация инцидента во встроенном workflow, построенному по ITIL
- запуск проактивного действия (скрипта) при срабатывании правила корреляции
- формирование нового события в результате срабатывания правила корреляции
- эскалация/переоткрытие/переназначение инцидентов
- постановка задач в инцидентах
- уведомление о задачах по электронной почте
- решение кейса: Интерактивный вход без прохода в офис с интеграцией со СКУД

4. AlienVault SIEM (OSSIM)
OSSIM (Open Source Security Information Management) — проект с открытым исходным кодом, который обеспечивает функционал SIEM: сбор, нормализация и корреляция событий ИБ.
AlienVault OSSIM предоставляет единую унифицированную платформу с необходимыми функциями безопасности, такими как:
- обнаружение активов
- оценка уязвимости
- обнаружение вторжений
- поведенческий мониторинг
- корреляция событий
