Security Operation Center

ROZWIĄZANIA KLASY SIEM

Systemy klasy SIEM (Security Information and Event Management) pozwalają łączyć logi dotyczące zdarzeń, zagrożeń i ryzyka oferując błyskawiczne reakcje na incydenty, bezproblemowe zarządzanie logami i zaawansowane mechanizmy raportowania. Umożliwiają konsolidowanie, korelowanie, ocenę i priorytetyzację zdarzeń dotyczących bezpieczeństwa, pochodzących z systemów. Architektura szybkiego przetwarzania i zarządzania danymi umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z jednej konsoli. Charakteryzuje się zaawansowanymi mechanizmami logiki zarządzania bezpieczeństwem, szybkim czasem reakcji na incydenty, bezproblemowym zarządzaniem logami oraz rozbudowanymi raportami dotyczącymi zgodności z regulacjami.

Rozwiązanie klasy SIEM może być realizowane w modelu lokalnym MSSP, gdzie cały system jest zainstalowany w lokalizacji klienta ),

Główne cechy systemu SIEM

  1. Administrowanie systemem umożliwia przechodzenie od ogólnych danych do szczegółów, aż do widoku poszczególnych pakietów otrzymanych przez system SIEM. SIEM posiada wbudowany edytor do tworzenia reguł korelacyjnych.
  2. Dostęp do informacji w czasie bieżącym. System SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych bez zbędnych opóźnień. Możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów.
  3. Dostęp do szczegółów zdarzenia w czasie rzeczywistym. System SIEM umożliwia zarówno dostęp do ogólnych statystyk, jak i wgląd w konkretne logi i zdarzenia.
  4. Zaawansowana korelacja danych. Wyszukiwanie wzorców i odchyleń od linii bazowych w zgromadzonych zdarzeniach, aktywnościach sieciowych i bazach danych, a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci. Funkcjonalność ta, zapewnia lepsze i szybsze wyszukiwanie śladów zagrożeń, ataków, utraty danych oraz oszustw związanych z chronionymi zasobami organizacji.
  5. Analiza przepływów sieciowych (flows).
  6. Analiza ruchu aplikacyjnego i uwzględnienie danych aplikacyjnych w korelacji zdarzeń.
  7. Około 300 predefiniowanych źródeł danych i gotowe do wykorzystania reguły korelacyjne oraz szablony raportów. Dla źródeł, które nie posiadają gotowych parserów, możliwe jest tworzenie reguł obsługujących zdarzenia.
  8. Skalowalność. Możliwość obsługi milionów zdarzeń na sekundę z rozproszonych źródeł, bez utraty przetwarzanych informacji.
  9. Dokładność raportowania. Szczegółowe raportowanie w oparciu o dane pochodzące z dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
  10. Zapewnienie niezmienności i nienaruszalności zbieranych zdarzeń. System umożliwia zapisywanie i zarządzanie oryginalnymi zdarzeniami przekazywanymi ze źródeł, zapewnia ich kontekstowe przeszukiwanie oraz kompresję.
  11. Zarządzanie oryginalnymi logami.
  12. Długoterminowa dostępność danych. System SIEM umożliwia wgląd zarówno w napływające dane, jak i zgromadzone wcześniej informacje historyczne.
  13. Kontekst zdarzeń. System SIEM analizuje zgromadzone dane również w odniesieniu do kontekstu w jakim powstały. Jest to możliwe, poprzez wzbogacanie gromadzonych zdarzeń o informacje dotyczące podatności, danych użytkowników, lokalizacji, reputacji, poziomu ryzyka, itd.
  14. Elastyczne raportowanie. System generuje raporty w oparciu o wbudowane szablony i definicje, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM.
  15. Predefiniowane alarmy, raporty, dashboard’y.
  16. Możliwość integracji SIEM z innymi rozwiązaniami bezpieczeństwa.
  17. Powiązanie korelacji z systemem reputacji GTI. Funkcjonalność umożliwiająca uwzględnienie w korelacji kontekstu, wynikającego z oceny ryzyka źródła lub odbiorcy połączenia. Baza GTI gromadzi i przetwarza dane pozyskane zarówno z pasywnych systemów typu honey pot, jak i z informacji o wykrytych atakach przekazywanych przez setki tysięcy źródeł rozsianych po całym świecie. Są one niezwykle cennym uzupełnieniem analizy zdarzeń przeprowadzanej przez system SIEM.