RuSIEM

RuSIEM

RuSIEM — разработчик первой отечественной одноименной SIEM-системы, предназначенной для мониторинга и управления событиями информационной безопасности в режиме реального времени.

В чем актуальность SIEM-систем?

Современные компании используют различные средства обеспечения информационной безопасности, начиная с антивирусов и DLP-систем, заканчивая межсетевыми экранами. Однако для определения сложных атак на корпоративные информационные системы требуется более комплексный подход, позволяющий объединить контроль над всеми событиями, относящимися к информационной безопасности воедино, анализировать их, находить корреляции между ними и своевременно выявлять угрозы. Именно SIEM-системы используются, чтобы проводить глубокий анализ, проактивно обнаруживать угрозы, реагировать на инциденты и расследовать их.

Какие задачи решает RuSIEM?

Обеспечивая аналитику данных, которые поступают из разных источников, решение RuSIEM позволяет:

  • контролировать происходящие в корпоративной инфраструктуре события;
  • находить корреляцию между поступающими событиями в автоматическом режиме и выявлять среди них наиболее значимые;
  • обнаруживать вредоносные программы;
  • анализировать события сетевых устройств;
  • обнаруживать как сложные кибератаки, так и неочевидные инциденты;
  • проводить ретроспективные расследования инцидентов.

Основное достоинство RuSIEM — это выполнение всех операций в автоматическом режиме, в том числе и при помощи инструментов машинного обучения без участия человека, благодаря чему обеспечивается выявление инцидентов на ранних стадиях.

Принцип работы системы RuSIEM

RuSIEM

Какие угрозы анализирует RuSIEM?

RuSIEM проводит анализ:

  • сетевых атак;
  • случаев мошенничества;
  • блокировки учетных записей, а также изменения настроек конфигураций, выполненные не системными администраторами, а другими сотрудниками или внешними лицами;
  • изменений, вносимых в привилегированный доступ;
  • выявленных и запущенных в инфраструктуре несанкционированных сервисов;
  • выявленных несанкционированных действий (например, получение доступа к системам под учетной записью работника, который уже уволен из компании);
  • случаев запуска компьютеров без антивирусной защиты;
  • аномальных действий пользователей (например, когда он массово удаляет файлы или копирует их на внешний носитель);
  • DoS- и DDoS-атак.

Это лишь часть примеров угроз, которые учитываются и анализируются RuSIEM в режиме реального времени.

Из каких источников получает данные RuSIEM?

Система агрегирует и анализирует информацию об событиях, относящихся к информационной безопасности из любых источников, начиная с сетевых устройств и СКУД, заканчивая антивирусными системами, межсетевыми экранами и журналами логов с рабочих станций.

RuSIEM & SOC

В основе современных центров обеспечения безопасности (SOC, Security Operations Center) лежат три элемента:

  • процессы;
  • технологии;
  • люди.

RuSIEM позволяет грамотно выстроить и наладить слаженную работу каждого из вышеназванных элементов SOC, поэтому является незаменимой технологией при построении современных центров обеспечения безопасности.

Продукты RuSIEM

Основное продуктовое портфолио RuSIEM включает в себя следующие решения:

  • RuSIEM free — LM-система (Log management, управление логами) с базовыми возможностями, которую может установить любая компания абсолютно бесплатно;
  • RuSIEM — основной продукт (коммерческая версия), предоставляющий расширенные возможности в области управления инцидентами и угрозами (в режиме реального времени или ретроспективно);
  • RuSIEM Analytics — дополнение к основному продукту RuSIEM, позволяющее компаниям получить больше возможностей на базе использования алгоритмов машинного обучения.

Также в линейку продуктов RuSIEM входят:

  • агент для операционной системы Windows RuSIEM Agent;
  • утилита, которая позволяет массово устанавливать и управлять агентами RuSIEM Agent Replicator.

Каковы преимущества RuSIEM?

Основные достоинства первой российской SIEM-системы:

  • полностью отечественная разработка;
  • поддержка на русском языке;
  • наличие инструментов для выявления угроз;
  • возможность протестировать бесплатную версию RvSIEM (LM);
  • анализ в режиме реального времени и ретроспективно;
  • собственные модульные агенты;
  • высокие показатели производительности (более 90 тысяч событий);
  • масштабируемость системы (вертикальная, горизонтальная, поддержка «горячего» расширения);
  • отсутствие ограничений при выборе источников событий.

Получить консультацию