SIEM-системы

Платформа HP ArcSight ESM обеспечивает взаимосвязанную инфраструктуру, способную определить каждое событие, поместив его в рамки контекста того, кем или чем оно вызвано, где, когда и почему произошло, а также, каково его влияние на бизнес риски.

Дополнительно к ресурсной модели HP ArcSight ESM новейшая версия продукта включает в себя особую пользовательскую модель, работа которой основана на учете и контроле всех идентификаторов, ролей и групп пользователей, а также всех используемых в организации учетных записей. Данная пользовательская модель позволяет администратору соотнести такие общие идентификаторы, как адреса электронной почты, логины и учетные записи и составить отчеты обо всех действиях, произведенных пользователями в рамках системы, с помощью приложений, учетных записей и IP-адресов.

HP ArcSight ESM поддерживает интеграцию с максимальным количеством прикладных систем и устройств и поставляется с несколькими тысячами предустановленных правил корреляции.

Дополнительные материалы

1. Обзорный online семинар HP ArcSight ESM для партнеров.

2. Демонстрация работы решения по мониторингу событий безопасности HP ArcSight Express.

Самообучающийся защитный экран уровня приложений для выявления и блокирования современных атак на веб-порталы, ERP-системы и мобильные приложения.

Самообучение вместо сигнатур

PT AF создает статистическую модель функционирования приложения и на ее основе выявляет аномальное поведение, что позволяет блокировать атаки нулевого дня.

Защита отраслевого бизнеса

Предобученные модули PT AF для ERP-систем (в частности — для SAP), интернет-банкинга, телекомов, порталов госуслуг и СМИ обеспечивают повышенную безопасность критически важных инфраструктур — благодаря учету отраслевых особенностей.

Актуальные угрозы вместо ложных срабатываний

С помощью корреляционного анализа PT AF отсеивает неактуальные срабатывания и выстраивает цепочки развития реальных атак, а модуль DAST может на лету проверять атакуемые уязвимости.

Мгновенная защита (виртуальный патчинг)

Совместная работа с анализатором кода PT Application Inspector позволяет обнаруживать атаки, направленные на уязвимости конкретного приложения, и блокировать их до исправления кода.

Выявление ботов и мошенников

Поведенческий анализ обеспечивает противодействие автоматизированным атакам (сканированию, подбору паролей, DDoS-атакам, фроду, утечкам) и выявление подозрительной активности пользователей.

Сокращение расходов

Связка PT AF и PT AI позволяет автоматизировать обнаружение и исправление уязвимостей на самых ранних стадиях создания кода — в рамках практик безопасной разработки (SSDL). Это в сотни раз снижает цену устранения ошибок и последствий атак.

Основные функции решения:

— Инвентаризация IT-инфраструктуры (MaxPatrol 8);

— Выявление уязвимостей и контроль их устранения (MaxPatrol 8);

— Оценка соответствия стандартам (MaxPatrol 8);

— Анализ событий безопасности и выявление инцидентов (MaxPatrol SIEM);

— Обнаружение кибератак на сетевом уровне (PT Network Attack Discovery);

— Выявление и блокировка вредоносного ПО (PT MultiScanner);

— Управление инцидентами («ПТ Ведомственный центр»);

Взаимодействие с НКЦКИ («ПТ Ведомственный центр»)

Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности, позволяющий решать все ключевых задачи для данного класса продуктов:

• качественный мониторинг того, что происходит в инфраструктуре компании;
• автоматическую корреляцию поступающих событий для выявления значимых;
• детектирование вредоносных программ;
• анализ сетевой активности, обнаружение сложных кибератак и неочевидных инцидентов;
• ретроспективное расследование инцидентов в области безопасности.

RuSIEM обеспечивает сбор событий информационной безопасности со всех узлов информационной инфраструктуры и всех подсистем, проводит автоматический анализ и корреляцию полученных событий с использованием алгоритмов машинного обучения, что позволяет без участия человека на ранней стадии выявлять инциденты информационной безопасности, в том числе сложные целенаправленные атаки, которые зачастую невозможно обнаружить каким-то одним средством информационной безопасности (антивирусом, межсетевым экраном, средством обнаружения вторжений и другими).

В новой версии KOMRAD Enterprise SIEM повышена стабильность сбора, фильтрации и корреляции событий информационной безопасности, увеличена производительность, реализована возможность самостоятельного подключения произвольных источников, переработан пользовательский интерфейс. Также впервые среди отечественных разработок систем подобного класса реализована кроссплатформенность: теперь поддерживается развертывание продукта на операционные системы семейств как Windows, так и Linux (Astra Linux, Ubuntu).

Ключевые характеристики KOMRAD Enterprise SIEM:

• централизованный сбор событий информационной безопасности с различных источников с помощью Syslog, WMI, SSH, FTP, SFTP, SNMP, sFlow, Netflow v5/v9 и SQL (MSSQL, MySQL, PostgreSQL, SQLite);
• разбор событий при помощи настраиваемых плагинов;
• фильтрация событий;
• визуализация данных;
• автоматическое выявление инцидентов по заданным директивам корреляции;
• гибкая настройка правил фильтрации и корреляции;
• инвентаризация информационных активов;
• управление инцидентами;
• агрегирование инцидентов;
• оповещение в реальном времени операторов системы;
• интеграция с ГосСОПКа;
• мониторинг компонентов системы;
• формирование отчетов;
• аудит действий пользователей.