RuSIEM
RuSIEM — разработчик первой отечественной одноименной SIEM-системы, предназначенной для мониторинга и управления событиями информационной безопасности в режиме реального времени.
В чем актуальность SIEM-систем?
Современные компании используют различные средства обеспечения информационной безопасности, начиная с антивирусов и DLP-систем, заканчивая межсетевыми экранами. Однако для определения сложных атак на корпоративные информационные системы требуется более комплексный подход, позволяющий объединить контроль над всеми событиями, относящимися к информационной безопасности воедино, анализировать их, находить корреляции между ними и своевременно выявлять угрозы. Именно SIEM-системы используются, чтобы проводить глубокий анализ, проактивно обнаруживать угрозы, реагировать на инциденты и расследовать их.
Какие задачи решает RuSIEM?
Обеспечивая аналитику данных, которые поступают из разных источников, решение RuSIEM позволяет:
- контролировать происходящие в корпоративной инфраструктуре события;
- находить корреляцию между поступающими событиями в автоматическом режиме и выявлять среди них наиболее значимые;
- обнаруживать вредоносные программы;
- анализировать события сетевых устройств;
- обнаруживать как сложные кибератаки, так и неочевидные инциденты;
- проводить ретроспективные расследования инцидентов.
Основное достоинство RuSIEM — это выполнение всех операций в автоматическом режиме, в том числе и при помощи инструментов машинного обучения без участия человека, благодаря чему обеспечивается выявление инцидентов на ранних стадиях.
Принцип работы системы RuSIEM
Какие угрозы анализирует RuSIEM?
RuSIEM проводит анализ:
- сетевых атак;
- случаев мошенничества;
- блокировки учетных записей, а также изменения настроек конфигураций, выполненные не системными администраторами, а другими сотрудниками или внешними лицами;
- изменений, вносимых в привилегированный доступ;
- выявленных и запущенных в инфраструктуре несанкционированных сервисов;
- выявленных несанкционированных действий (например, получение доступа к системам под учетной записью работника, который уже уволен из компании);
- случаев запуска компьютеров без антивирусной защиты;
- аномальных действий пользователей (например, когда он массово удаляет файлы или копирует их на внешний носитель);
- DoS- и DDoS-атак.
Это лишь часть примеров угроз, которые учитываются и анализируются RuSIEM в режиме реального времени.
Из каких источников получает данные RuSIEM?
Система агрегирует и анализирует информацию об событиях, относящихся к информационной безопасности из любых источников, начиная с сетевых устройств и СКУД, заканчивая антивирусными системами, межсетевыми экранами и журналами логов с рабочих станций.
RuSIEM & SOC
В основе современных центров обеспечения безопасности (SOC, Security Operations Center) лежат три элемента:
- процессы;
- технологии;
- люди.
RuSIEM позволяет грамотно выстроить и наладить слаженную работу каждого из вышеназванных элементов SOC, поэтому является незаменимой технологией при построении современных центров обеспечения безопасности.
Продукты RuSIEM
Основное продуктовое портфолио RuSIEM включает в себя следующие решения:
- RuSIEM free — LM-система (Log management, управление логами) с базовыми возможностями, которую может установить любая компания абсолютно бесплатно;
- RuSIEM — основной продукт (коммерческая версия), предоставляющий расширенные возможности в области управления инцидентами и угрозами (в режиме реального времени или ретроспективно);
- RuSIEM Analytics — дополнение к основному продукту RuSIEM, позволяющее компаниям получить больше возможностей на базе использования алгоритмов машинного обучения.
Также в линейку продуктов RuSIEM входят:
- агент для операционной системы Windows RuSIEM Agent;
- утилита, которая позволяет массово устанавливать и управлять агентами RuSIEM Agent Replicator.
Каковы преимущества RuSIEM?
Основные достоинства первой российской SIEM-системы:
- полностью отечественная разработка;
- поддержка на русском языке;
- наличие инструментов для выявления угроз;
- возможность протестировать бесплатную версию RvSIEM (LM);
- анализ в режиме реального времени и ретроспективно;
- собственные модульные агенты;
- высокие показатели производительности (более 90 тысяч событий);
- масштабируемость системы (вертикальная, горизонтальная, поддержка «горячего» расширения);
- отсутствие ограничений при выборе источников событий.