UDV SIEM
Система сбора и корреляции событий безопасности, осуществляет мониторинг и управление событиями ИБ в режиме реального времени
описание
решаемые задачи
-
01
Мониторинг, сбор и корреляция событий безопасности в реальном времени
-
02
Отображение и поиск данных о событиях компьютерной безопасности
-
03
Долгосрочное хранение событий для ретроспективного анализа
возможности
возможности продукта
Мониторинг событий безопасности
UDV SIEM позволяет проводить сбор, нормализацию, корреляцию и сохранение событий информационной безопасности в реальном времени, что позволяет оперативно реагировать на возможные угрозы безопасности
-
100%-защита от потерь данных при пиковых нагрузках и возможных сбоях и гарантированная обработка всех поступающих событий
-
Архитектура системы оптимизирована для применения в распределенных инфраструктурах
Правила корреляции для промышленных сетей
UDV SIEM содержит более 400 готовых правил корреляции событий информационной безопасности, каждое из которых может быть изменено пользователем по своему усмотрению
-
Специфичные правила корреляции для промышленных сетей, оперативное выявление в том числе инцидентов информационной безопасности в АСУ ТП
-
Удобное отключение и копирование набора пользовательских правил, создание своих пользовательских правил корреляции и любые операции с ними
Автоматическое выставление тэгов событий
Для удобства пользователя все события из большого количества разнородных источников помечаются специальными тэгами с весовыми коэффициентами
-
Позволяет быстро ориентироваться в потоке событий, получая их краткие описания и совокупный вес (приоритет) каждого события
-
Использование тэгов для поиска событий по ключевым словам и критичности, без сложных запросов с применением специфичных для источников событий технических параметров
Интеграция с другими системами ИБ
UDV SIEM интегрируется с другими системами, что позволяет обеспечить более эффективное управление информационной безопасностью предприятия
-
Возможность получать события из сотен разнотипных источников (log-файлы, события от серверов, рабочих станций, приложений и других сторонних решений)
-
На выходе формируется информация об инцидентах ИБ, которая может передаваться в UDV SOAR для реагирования с последующим автоматическим закрытием инцидента в UDV SIEM
преимущества
почему UDV SIEM
-
Анализ и мониторинг безопасности распределённой ИТ-инфраструктуры предприятия
-
Продвинутый пакет экспертизы «из коробки» и поддержка более 350 систем-источников
-
Интуитивно понятный интерфейс с шаблонами отчетов
вопросы и ответы
часто
задаваемые
вопросы
Не нашли ответа на свой вопрос?
Напишите нам-
Поддерживаются любые источники данных по протоколу Syslog. У агента имеются универсальные транспорты, позволяющие собирать события с:
- Windows event log (любые журналы);
- Checkpoint LEA;
- Cisco SDEE;
- File logs;
- Logs on FTP servers;
- Hash logs (запущенные процессы их sha1/md5/sha256);
- Logs on MySQLl/Oracle/MS SQL таблицах и представлениях;
- WMI logs;
- Информация об установленном ПО и патчах;
- Информация об открытых процессах портах.
-
Поток событий разделяется на корреляцию и сохранение в базу данных, поэтому не привносит задержку между поступлением событий на вход и сохранением в базу данных. Перед корреляцией события буферизуются на диск с целью предотвращения потерь. Счетчики и триггеры также буферизуются. Таким образом, при внезапной перезагрузке сервера или процессов, сбоях — данные не будут потеряны.
-
В системе присутствует множество преднастроенных системных правил корреляции. Пользователь может их отключать или копировать в набор пользовательских правил. Можно создавать свои пользовательские правила корреляции и производить с ними любые операции.
Правило может срабатывать по:
- факту появления одного события, попадающего под условие;
- по количеству событий в динамичном интервале времени;
- по подсчету уникальных значений выбранного поля;
- по последовательности нескольких событий;
- результатам выполнения функций-операторов.
Любое правило корреляции можно отключить в любой момент времени.
-
Для каждого события автоматически создаются тэги (возможно несколько тэгов для одного события) по определённым правилам. У каждого тэга есть свой вес, определяющий критичность события. Сумма весов тэгов события определяет вес события.
-
Система может хранить все поступающие в неё события, но имеет гибкие возможности по оптимизации использования дискового пространства. Данные разделяются на три основных типа — Unparsed (необработанные события), Inf (Информационные) и Imp (Impersonate, важные). В настройках указываются вес, который делает событие «важным». Таким образом, ресурсы хранилища используются только для событий, которые могут потенциально представлять интерес в случае ретроспективного анализа.
Для хранения данных применяются специализированные (столбцовые) СУБД, которые оптимизированы для сжатого хранения данных и обеспечивают быстрый доступ к данным в отличие от традиционных реляционных СУБД.
-
При пересылке событий из филиала в центральный офис или SOC применяются суммарные веса событий с использованием фильтрации. Например, в филиале организации могут храниться все события, а в центральный офис или в SOC передаются только события, начиная с определённого уровня критичности или события, отфильтрованные другим способом.
экосистема
узнайте больше о продуктах UDV Group
Экосистема решений UDV Group в области кибербезопасности
В экосистему UDV Group входят решения для защиты АСУ ТП и объектов КИИ, решения для мониторинга ИБ и реагирования на инциденты, инструменты для автоматизации бизнес-процессов. На вебинаре в сжатом виде рассказали про всю линейку продуктов экосистемы.
экосистема
документы и презетации
оставить заявку
закажите персональную демонстрацию продукта
Стоимость рассчитывается индивидуально. Для расчёта стоимости вашего проекта заполните форму.
Ответим в рабочие дни с 9:00 до 18:00 по Москве.
