RuSIEM - российская система мониторинга информационной безопасности организации

RuSIEM (ООО «РуСИЕМ») – российская компания, занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени.

Позиционирование продукта

Одна из ведущих высокопроизводительных и полнофункциональных российских SIEM-систем по соотношению цена/качество.

Технологические преимущества и отличия от конкурентов

Микросервисная архитектура с локальным для каждого микросервиса мастером очереди. За каждый этап жизненного цикла события в системе отвечает отдельный микросервис. Такая архитектура позволяет гибко разворачивать и масштабировать систему «на горячую», то есть без остановки сбора событий. Благодаря микросервисной архитектуре обеспечивается непрерывный процесс сбора и обработки событий даже при возникновении таких нештатных ситуаций, как недоступность микросервиса. Обеспечиваем сохранность событий в случаях кратковременного превышения лицензионных ограничений
Сохранение «сырых» событий для обеспечения доказательной базы
Высокие показатели по вертикальной и горизонтальной масштабируемости
Высокая производительность (до 90,000 EPS на 1 ноду коррелятора)
Более 370 источников, поддерживаемых «из коробки»
Более 400 правил корреляции «из коробки»
Графический конструктор для создания и редактирования существующих правил корреляции. Не требуется знаний языков программирования для создания правила
Встроенная интеграция с ГосСОПКА «из коробки»
Поддержка режима мультитенантности
Возможность полнотекстового поиска по событиям
Высокий уровень технической поддержки
Готовность разрабатывать новые правила нормализации по требованию заказчиков в рамках оказания услуг технической поддержки

улучшенная система обнаружения несанкционированных действий

Security Information and Event Management

Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. Поэтому многие организации рассматривают использование SIEM-системы в качестве дополнительного и очень важного элемента защиты от целенаправленных атак.

Основные возможности SIEM решений
- Везде, где из журналов событий можно извлечь полезную информацию
- Аудит доступа, контроль доступа к критичным ресурсам, оценка числа посетителей сайта, обнаружение malware, контроль физического доступа, оценка продаж, интересов потребителей, снижение числа ложных срабатываний, аудит финансовых показателей, анализ сетевой активности, контроль автоматизированных устройств (конвейерных лент)
Где может применяться SIEM
- Возможность отправки предупреждений на основе предопределенных настроек
- Отчеты и логирование для упрощения аудита
- Возможность просмотра данных на разных уровнях детализации

Ключевые функции

Симптоматика

Нет необходимости запоминать текст события и event.id. Симптомы помогают быстро найти событие среди миллионов других. Удобные для оператора имена симптомов могут использоваться при поиске событий, отчетов, корреляций во всех разделах продукта.

Корреляция

Корреляция в реальном времени обеспечивает оперативное обнаружение угроз и аномалий. Гибкий и простой в использовании графический конструктор правил корреляции обеспечивает создание любых пользовательских правил без знания кода.

Управление инцидентами

Управление инцидентами обеспечивает взаимодействие команд и персонала в оперативном решении проблем и инцидентов. Ограничение области видимости инцидентов позволяет сохранять конфиденциальность, ограничивать доступ к различным инцидентам. Внутри инцидента вы можете назначать задачи. Управление инцидентами строится в соответствии со стандартом ITIL.

Долговременное хранение данных

Решение хранит как нормализованные, так и сырые RAW события в течение длительного интервала хранения. Гибкий поиск событий позволяет вам искать события на любом интервале хранения, выполнять как точное, так и регулярное выражение, частичный поиск. Группировка, подсчет количественных данных, вычисление усредненных значений, различные параметры визуализации удовлетворят любые потребности.

Отчеты

Графический конструктор позволяет настраивать любой формат отчета, изменять расположение данных в отчете, логотип, шрифты, добавлять и размещать графические данные. Запуск отчетов по расписанию и отправка по электронной почте выбранным получателям позволяет оставаться всегда осведомленным о том, что происходит.

Исходные данные и системы сбора и хранения

Исходные данные и системы сбора и хранения позволяют идентифицировать аномалии и угрозы без необходимости создавать правила корреляции для каждого случая.

Управление уязвимостями

Управление уязвимостями обеспечивает обнаружение уязвимостей и своевременное уведомление о них. Обнаружение уязвимости выполняется по сетевому трафику и по событиям. Интеграция со Snort обеспечивает доступность данных о открытых портах, используемых сервисах и операционных системах.

Отслеживание аутентификации

Отслеживание аутентификации позволяет создавать пользовательские правила для любой системы и отслеживать параметры входа пользователя. Если пользователь вошел в систему с другого IP-адреса или браузера, создается инцидент. В дополнение к ip и useragent можно указать и любые другие критерии.

Преимущества RuSIEM

Интеграция с ГосСОПКА и сертификация ФСТЭК России
RuSIEM MQ – очередь
Приведенная к общем формату объектная нормализация
Встроенная управляемая и редактируемая корреляция
Высокая производительность (Свыше 90000 событий на одну ноду)
Нет ограничений по количеству событий и источников
Вертикальная масштабируемость
Горизонтальная масштабируемость
Разделение нагрузки на несколько серверов или виртуальных машин
Наличие собственных модульных агентов
Real-time и историческая корреляция
Коннекторы от производителя
Нет ограничений по размеру архивного хранилища
Сохранение исходных RAW-событий

Экосистема RuSIEM

RuSIEM Monitoring

RuSIEM Monitoring - модуль мониторинга ИС, узлов, приложений.
Отслеживает состояние объектов ИТ-инфраструктуры и выявляет нарушения, связанные с изменением их статуса.

Задачи

Мониторинг и устранение неполадок узлов ИТ-инфраструктуры включая серверы, сетевое оборудование и рабочие станции
Улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде
Мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы
Удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат
Мониторинг информационных систем и бизнес-критичных серверов
Простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время

Преимущества

Мониторинг не требует установки агентов на сервера
Запуск системы в работу осуществляется за 10 минут: подключение к серверам и сетевому оборудованию в один клик
Удаленная поддержка: наличие внутренней системы HelpDesk с доменной авторизацией и подключение к пользователю в один клик из тикета

Показатели
ИНФОРМАЦИЯ ОБ УЗЛЕнагрузка на CPU;

нагрузка на оперативную память;
занятость логических дисков.

ИНФОРМАЦИЯ АППАРАТНОЙ ЧАСТИпроцессоры;

оперативная память;
жесткие диски;
сетевые адаптеры.

ИНФОРМАЦИЯ АППАРАТНОЙ ЧАСТИсписок локальных пользователей;

доступные сетевые папки;
установленное ПО;
установленные роли сервера;
остановленные службы;
история входов пользователей.

RuSIEM IoC

RuSIEM IoC - защита от несанкционированного доступа. Узнавайте о попытках захвата корпоративных устройств хакерами до того, как это станет проблемой.

Выявляемые угрозы

Загрузка вредоносных файлов с зараженных ресурсов сети Интернет
Автоматические запросы с компьютеров к инфраструктуре злоумышленников
Обращение компонентов клиентской инфраструктуры на вредоносные узлы
Запросы и обращения с инфраструктуры злоумышленников либо зараженных узлов
Идентификация конкретного ВПО либо хакерской группировки

Решение
RuSIEM IoC – это модуль SIEM-системы, позволяющий выявить угрозу для корпоративных устройств в виде попыток связаться с вредоносной инфраструктурой злоумышленника. Модуль подгружает в систему информацию об IP-адресах, доменах, url, хэшах вредоносного ПО (ВПО). Это и есть индикаторы компрометации – признаки, позволяющие выявлять вредоносные коммуникации и зараженные устройства. Как только SIEM-система фиксирует в сетевом потоке или хостовой активности обращение к данным ресурсам, которые есть в базе, она сообщает об этом оператору, указывая, какой конкретно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

Преимущества

Анализирует данные из более чем 260 открытых источников
Сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github, а также данных публичных TI-отчетов
На текущий момент система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности
Интеллектуальная нормализация, очистка, обогащение индикаторов
Определение степени опасности каждого индикатора на базе уникальной математической модели ранжирования

RuSIEM Analytics

RuSIEM Analytics - поиск утечки данных. RuSIEM Analytics представляет собой модуль для коммерческой версии, который дополняет AI (искусственный интеллект), DL (обучение данных), управление активами и многие другие функции, чтобы повысить способность своевременно обнаруживать различные угрозы, решать многие кейсы и визуализировать данные.

Возможности

устанавливается как модуль для коммерческой версии RuSIEM
обнаружение аномалий и угроз без обязательного составления правил корреляции посредством AI (Artificial Intelligence)/DL (Data Learning) в режиме реального времени
возможность применения ML (Machine Learning) через PMML стандарт
baseline по анализируемым показателям через правила аналитики
управление правилами аналитики пользователем через графический интерфейс
вывод на виджеты показателей по baseline аналитики
регистрация инцидентов в результате обнаружений аномалий и инцидентов
управление активами
динамическое формирование активов (установленное ПО, процессы, службы, патчи, mac адреса, информация об ОС) из событий в режиме реального времени, активными и пассивными методами опроса
создание статических и динамических групп в активах
аудит изменения активов в режиме реального времени с формированием событий и возможностью регистрации через инцидент
Standard comliance (PCI DSS) и Policy compliance формирование отчетов о соответствии
возможность создания пользовательского стандарта или политики (технических контролей) и построение отчета по ним
отслеживании аутентификации аудита входов в приложение/ОС с сравнением атрибутов по истории
формирование инцидента при входе с других IP/браузера
управление правилами и возможность добавления оператором правил отслеживания аутентификации
фидлисты, содержащие IP/FQDN/URL/Hash списки с угрозами
анализ по фидам в режиме реального времени с формированием инцидентов в случае обнаружения
возможность добавления пользовательских фидов
возможность организации черных и белых списков через фиды
формирование событий работы аналитики и срабатываний
доуточнение условий срабатываний вывода модуля аналитики для снижения ложных срабатываний через правила корреляции
Vulnerability management в режиме реального времени по событиям активными и пассивными методами опроса
просмотр уязвимостей по встроенной базе данных и поиск по ним
отображение на активах информации об обнаруженных уязвимостях
регистрация инцидента при обнаружении уязвимости

Масштабирование

Масштабируется вертикально (по филиалам и регионам)
Масштабируется горизонтально (увеличение производительности)
Кластер базы данных может быть установлен на несколько серверов (без дополнительных лицензий)
Возможно разделить компоненты по нескольким серверам