RuSIEM. Коммерческая версия
RuSIEM - это коммерческая версия класса SIEM (Security information and event management), включает корреляцию в реальном времени, визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами и отчеты.
Функционал
- качественный мониторинг того, что происходит в инфраструктуре компании, и автоматическая корреляция поступающих событий для выявления тех из них, которые являются значимыми, без необходимости ручного «ковыряния» во всём массиве журналов в поисках единственно важной «иголки в стоге сена»,
- аудит и контроль доступа к важным ресурсам, детектирование вредоносных программ, анализ сетевой активности, обнаружение сложных кибератак и неочевидных инцидентов,
- ретроспективное расследование инцидентов в области безопасности, фиксация фактов и сбор доказательной базы.
О продукте
RuSIEM - это коммерческая версия класса SIEM (Security information and event management), включает корреляцию в реальном времени, визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами и отчеты.
Корреляция в режиме реального времени
Механизмы корреляции присутствуют только в коммерческих версиях RuSIEM.
Корреляция осуществляется на потоке в режиме реального времени. Поток событий расщепляется на корреляцию и сохранение в базу данных, поэтому не привносит задержку между поступлением событий на вход и сохранением в базу данных.
События, поступающие на вход корреляции, буферизуются на диск с помощью MQ с целью предотвращения потерь. Счетчики и триггеры также буферизуются. Таким образом, при внезапной перезагрузке сервера или процессов, сбоях — данные не будут потеряны.
Корреляция осуществляется уже по нормализованным данным (извлечены пары ключ-значение) и обогащенным симптоматикой.
В случае распределенной инфраструктуры, используется распределенная корреляция. Множество процессов корреляции объединяются через MQ, обмениваются микротранзакциями между собой без передачи событий. Например, в центральном офисе создано правило «Обнаружен вирус более чем на 20 узлах» с группировкой по имени вируса. На Филиалах — такие же правила, обособленные ноды, но счетчик на 10 узлов. Если на одном филиале будет выявлено 5 узлов, на другом 7 и на третьем 9 — в центральный офис будут переданы счетчики со всех филиалов и сработает правило корреляции. При этом, в центральный офис не производится передача событий, как это принято в классических SIEM.
В системе присутствует уже множество предзаданных системных правил корреляции. В случае системных правил, пользователь может их отключать, копировать правило полностью в пользовательское. Пользователи могут создавать свои пользовательские правила корреляции и производить с ними любые операции.
Любое правило корреляции можно отключить в любой момент времени.
О компании
Мы работаем на рынке IT-услуг с 2001 года и входим в число крупнейших IT-компаний на юге России, ТОП-10 крупнейших 1С:Франчайзи по данным рейтинга 1С и ТОП-100 лучших работодателей России по данным hh.ru.
Мы специализируемся на оказании профессиональных ИТ-услуг: подборе и поставке лицензионного ПО, технической поддержке, ИТ-аутсорсинге, внедрении инфраструктурных решений, объединенных коммуникаций, систем электронного документооборота, программно-аппаратных средств информационной безопасности, предоставлении комплексных решений автоматизации бизнеса, обучении и сертификации.
22 года
помогаем компаниям
развивать IT-инфраструктуру
2500+
предприятий доверяют
нашим специалистам
250
сотрудников
в нашей команде
2000+
сертификата подтверждают
нашу квалификацию