Главная страница
Навигация по странице:

  • MaxPatrol SIEM

  • ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики


    Скачать 1.78 Mb.
    НазваниеФгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
    Дата09.07.2022
    Размер1.78 Mb.
    Формат файлаdocx
    Имя файлаВКР.docx
    ТипРеферат
    #627440
    страница8 из 11
    1   2   3   4   5   6   7   8   9   10   11

    KOMRAD Enterprise SIEM


    KOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий, разработанная АО «НПО «Эшелон»», предназначена для сбора, регистрации и анализа событий по информационной безопасности, а также выявления признаков инцидентов и оперативного реагирования на них. Система имеет собственный визуальный конструктор для управления правилами фильтрации и корреляции событий, поддерживает интеграцию с API ГосСОПКА.

    Организация мониторинга событий из области информационной безопасности не только позволяет выполнить требования нормативных документов, но и обеспечивает реальный контроль над защищаемой инфраструктурой. До недавнего времени применение SIEM – систем было прерогативой крупных организаций, которые могли себе позволить штат экспертов – аналитиков по ИБ и серьёзные вложения в программное и аппаратное обеспечение, но с выходом новой версии KOMRAD Enterprise SIEM в конце 2021 года ситуация изменилась. Теперь даже небольшая организация с ограниченными ресурсами может себе позволить такую систему и получит от внедрения реальную пользу.

    Технические характеристики KOMRAD Enterprise SIEM:

    • сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow;

    • автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;

    • возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности;

    • поддержка Elastic Common Schemа;

    • широкий спектр поддерживаемых отечественных СЗИ;

    • предустановленные виджеты для визуального анализа данных;

    • хранилище событий на основе PostgreSQL c TimescaleDB;

    • визуальный конструктор правил фильтрации и корреляции событий;

    • возможность создания произвольных правил фильтрации событий на языке Lua;

    • возможность распределенной установки компонентов системы и масштабирования решения;

    • предустановленные правила корреляции;

    • управление инцидентами ИБ;

    • возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF [25].

    Схема работы представлена на рисунке 3.



    Рисунок 3 – Схема работы KOMRAD Enterprise SIEM

    KOMRAD Enterprise SIEM реализует следующие меры информационной безопасности:

    • сбор, запись и хранение информации о событиях безопасности;

    • обнаружение, идентификация и регистрация инцидентов;

    • информирование об инцидентах и реагирование;

    • хранение событий в течение необходимого срока;

    • управление активами;

    • просмотр и анализ информации о действиях пользователей;

    • передача инцидентов в ГосСОПКА.
    1. MaxPatrol SIEM


    MaxPatrol SIEM — система мониторинга событий информационной безопасности и выявления инцидентов в режиме реального времени.

    Программный продукт решает такие задачи, как:

    • организовать полноценную работу офиса;

    • управление событиями и инцидентами информационной безопасности;

    • организовать общую безопасность сети от внешних атак.

    Преимущества продукта:

    • эффективно выявляет инциденты благодаря управлению активами;

    • выявляет новые типы угроз;

    • строит топологию сети;

    • оценивает эффективность ИБ;

    • помогает построить оптимальную модель мониторинга безопасности.

    Ключевые возможности:

    • общая картина угроз ИБ — дашборд отображает сводную информацию об инцидентах и уязвимостях активов в инфраструктуре и указывает на наиболее опасные из них;

    • детальные сведения об активах для проведения расследований — паспорт ИТ – актива с данными об аппаратном и программном обеспечении, установленных обновлениях, об уязвимостях актива на любой момент времени — помогает разобраться в причинах инцидента. Оператор системы видит состояние актива на текущий момент и за любой период в прошлом;

    • управление активами — MaxPatrol SIEM формирует группы активов по любым признакам и автоматически наполняет их новыми активами, попадающими под критерии. Это помогает выявлять аномалии в ИТ – инфраструктуре и точнее задавать условия для правил корреляции;

    • топология сети — топология сети строится на основании модели ИТ – инфраструктуры и автоматически обновляется в случае изменений. С ее помощью оператор системы лучше понимает защищаемую инфраструктуру, проверяет доступность активов по портам, оценивает реализуемость атак и расследует инциденты;

    • оценка эффективности ИБ — специальный модуль PT Security Intelligence Portal отражает динамику проблем в ИБ, сводку по инцидентам, загруженность ответственных сотрудников и указывает на показатели, отклоняющиеся от нормы;

    • оценка уровня защищенности — модуль PT Security Intelligence Portal помогает оценить общий уровень защищенности организации с территориально распределенной инфраструктурой, выявить проблемы и понять их причины [26].

    Схема работы MaxPatrol SIEM представлена на рисунке 4.



    Рисунок 4 – Схема работы MaxPatrol SIEM

    MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб.
    1. 1   2   3   4   5   6   7   8   9   10   11


    написать администратору сайта