ISOC SIEM

Управление, контроль и обеспечение информационной безопасности

Единая платформа мониторинга, контроля и обеспечения информационной безопасности ISOC SIEM выполняет сбор, фильтрацию, нормализацию и хранение данных о событиях информационной безопасности. Корреляция полученных данных выполняется в автоматическом режиме, что позволяет быстро и эффективно выявлять инциденты безопасности. Кроме того, система позволяет проводить ретроспективных анализ сохраненных данных, используя сведения о новых угрозах, а значит выявлять и анализировать инциденты в прошлом.

Сбор, анализ, корреляция и хранение событий ИБ

Источниками событий для ISOC SIEM являются объекты информационной и сетевой инфраструктуры. Данные от источников событий поступают либо с помощью специальной программы-агента или напрямую, используя собственные средства сбора источника. Все собранные данные передаются в подсистему хранения и нормализации, построенную на инструментах обработки больших данных. Затем данные проходят процедуру корреляции и обогащения событий ИБ из внешних источников, а затем — выявления угроз.

Мониторинг доступности служб и узлов сети

Система контролирует доступность служб и узлов сетевой инфраструктуры клиента и оповещает пользователя, если какая-либо служба прекратила или возобновила работу. Также система визуально отображает доступность узлов, которые включены в область мониторинга.

Управление инцидентами ИБ

Система в автоматическом режиме выявляет инциденты информационной безопасности на основе собранных данных. Все инциденты имеют приоритет, для каждого типа инцидента предусмотрен свой алгоритм реагирования и обработки. Пользователь может создавать новые алгоритмы реагирования и добавлять сценарии выявления инцидентов.
В соответствии с настройками, указанными клиентом, система уведомляет пользователей о новых инцидентах по электронной почте.

Визуализация результатов

Система оповещает пользователей о событиях в инфраструктуре, а также позволяет получить разнообразные данных о работе системы в наглядном виде: состояние системы, потоки событий, количество и типы инцидентов за выбранный промежуток времени вплоть до просмотра подробных данных о выбранном инциденте и состоянии связанных с ним информационных систем. Пользователи также могут просматривать данные о доступности узлов и сервисов своей инфраструктуры. Отчет о работе системы можно сформировать в формате DOCX или PDF и с помощью расписания отправлять его на электронную почту.

Масштабирование

Система подстраивается под требования клиентов и может работать как с крупными, так и с небольшими сетевыми инфраструктурами. Кроме того, в процессе использования ISOC SIEM клиент может добавлять новые узлы и сервисы для мониторинга, источники событий, а также изменять ширину потока обрабатываемых событий без изменения архитектуры системы.
Количество хранимых данных можно изменять горизонтально, добавляя новые аппаратные компоненты.

Контроль работы компонентов ISOC SIEM

Система собирает метрики функционирования своих компонентов, служб и серверов, обеспечивается логирование данных. Клиент может настроить резервное копирование конфигурации всех компонентов и при необходимости использовать резервные копии для восстановления работоспособности ISOC SIEM.