Зачем это нужно?
Количество компонентов в ЛВС предприятий и состав обрабатываемых в них данных на текущий момент выросли. Успешно справится с задачами управления сетью и обеспечением информационной безопасности без применения специализированных автоматических систем мониторинга уже невозможно.
Все события и условия, возникающие в процессе эксплуатации электронно-вычислительных систем, которые влекут за собой негативные последствия, в дальнейшем условимся называть информационными инцидентами (ИИ).
Для решения задачи по выявлению и устранению этих инцидентов мы представляем Систему автоматического мониторинга и ликвидации информационных инцидентов (СИАМ). СИАМ является важным компонентом для управления сетью и обеспечения информационной безопасности.
КАК это работает?
СИАМ решает задачи:
- Консолидация и хранение данных от различных источников: сетевых устройств, приложений, журналов ОС, средств защиты.
- Корреляция и обработка загруженных данных по предустановленным правилам, которые выявляют информационные инциденты.
- Автоматического оповещения и инцидент-менеджмента. Основная задача в том, чтобы не просто собрать события, но автоматизировать процесс обнаружения инцидентов (с документированием в собственном журнале или внешней системе) и своевременно информировать о событии.
- Подачи управляющих воздействий на оборудование или информационные процессы для ликвидации ИИ.
СИАМ способна выявлять:
- Сетевые атаки во внутреннем и внешнем периметрах;
- Вирусные эпидемии или отдельные вирусные заражения, не удаленные вирусы, бэкдоры и трояны;
- Попытки несанкционированного доступа к конфиденциальной информации;
- Фрод и мошенничество;
- Ошибки и сбои в работе информационных систем;
- Уязвимости информационных систем;
- Ошибки конфигураций в средствах защиты и информационных системах.
Источники выбираются на основании:
- Критичность системы (ценность, риски) и информации (обрабатываемой и хранимой);
- Покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети);
- Достоверность и информативность источника событий;
- Решение спектра задач ИТ и ИБ (обеспечение непрерывности, расследование инцидентов, соблюдение политик, предотвращение утечек информации и прочее).
Основные источники СИАМ
Access Control, Authentication
Мониторинг контроля доступа к информационным системам и использования привилегий.
GRC системы
Учет рисков, критичности угрозы, приоритизации инцидента.
Netflow
И системы учета трафика.
Прочие системы защиты и контроля политик ИБ
DLP, антифрод, контроль устройств и прочее
Журналы событий серверов
и рабочих станций
Контроль доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
IDS/IPS
События о сетевых атаках, изменение конфигураций и доступ к устройствам.
Системы инвентаризации
и asset-management
Контроль активов в инфраструктуре и выявления новых.
Сетевое активное оборудование
Контроль изменений и доступ, счетчики сетевого трафика.
Антивирусная защита
События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах.
Сканеры уязвимостей
Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
Характеристики СИАМ
Система обеспечивает полный автоматический цикл — от выявления информационного инцидента до устранения, вызвавших его причин. СИАМ поставляется с предустановленной библиотекой правил для выявления ИИ.
Система позволяет пользователю:
- Создавать собственные коннекторы для подключения к инспектируемым системам;
- Создавать собственные правила для выявления ИИ;
- Создавать собственные скрипты для устранения ИИ;
- Кастомизировать интерфейс;
Мы предлагаем:
- Обследование ЛВС предприятия на предмет выбора оптимального варианта конфигурации СИАМ;
- Внедрение и настройка системы «под ключ»;
- Обучение персонала;
- Дружественный саппорт;
Заказать обратный звонок
Пожалуйста, заполните форму и мы свяжемся с Вами
