SIEM-системы

Системы сбора и корреляции событий (Security Information and Event Management, SIEM)

Вопрос
Задать вопрос

Мнение

Обзоры

Обзор RuSIEM, российской SIEM-системы

RuSIEM или, как его называют сами основатели, «первый русский сием» — решение одноимённого отечественного производителя, которое относится к классу средств анализа информационных систем и событий в области безопасности в режиме реального времени. Оно предназначено как для сбора и анализа информации, так и для обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз (Threat Hunting), а также оперативного реагирования на инциденты и их дальнейшего расследования. RuSIEM способен выявить угрозу, когда обычные средства детектирования по отдельности её не видят, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. Какие есть особенности у решения и как работать с системой на практике — разберём в данном обзоре.

Обзор СёрчИнформ SIEM 1.28

«СёрчИнформ SIEM» (Security Information and Event Management) – система для сбора и анализа событий безопасности в режиме реального времени, выявления ИБ-инцидентов и реагирования на них. Это продукт российского разработчика средств защиты информации – компании «СёрчИнформ». Ключевая особенность «СёрчИнформ SIEM» – простота настройки и использования, что позволяет работать в системе ИБ- и IT-специалистам с любым опытом и уровнем подготовки.

Обзор Visor 1.1, российской SIEM-системы

Платформа мониторинга информационной безопасности Visor от компании ФГУП «НПП «Гамма» — это новая российская SIEM-система, которая позволяет решать основные задачи сбора, анализа и автоматической корреляции событий, обнаружение инцидентов ИБ. Visor ориентирован в первую очередь на государственных заказчиков и позволяет обеспечить информационное взаимодействие с НКЦКИ или ведомственным центром ГосСОПКА штатными средствами.

Анализ рынка

Как кибербезопасность трансформирует рынок ИТ (часть 2)

Возможно, уже в ближайшем будущем многие привычные сейчас информационные процессы и технологии переживут существенную трансформацию, поменяв приоритеты и перераспределив игроков рынка. Одним из направлений наиболее ожидаемых изменений будут методы работы с персональными данными пользователей, которые я рассмотрю во второй части цикла материалов «Как кибербезопасность трансформирует рынок ИТ».

Контейнеры для приложений: риски безопасности и ключевые решения по защите

Хотя сама по себе технология контейнеризации — это не новое явление, за последние 3—5 лет её популярность возросла на фоне принятия методологии DevOps. Разработчики полюбили контейнеры за простоту и избавление от проблем совместимости. Однако для эффективного и безопасного перехода к микросервисной архитектуре необходимо обеспечить защиту среды контейнеризации и программных образов в совокупности. На рынке ИБ доступны две универсальных платформы, с помощью которых можно этого добиться: Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition.

Человеческий фактор как ключевая тема RSA Conference 2020

В конце февраля в Сан-Франциско прошла ежегодная конференция RSA, на которой специалисты по информационной безопасности традиционно очерчивают отраслевые тренды на ближайший год. Учитывая значимость и масштабность события, мы подготовили обзор наиболее интересных новинок, анонсированных на RSAC, и провели краткий анализ тенденций, о которых говорили спикеры конференции (и к которым стоит готовиться уже сейчас).

Технологии и практика

Интеграция BAS с другими инструментами как способ увеличить эффективность SOC

Breach and Attack Simulation (BAS) — относительно новый, динамично развивающийся класс ИБ-продукты. Способны ли они повысить эффективность работы SIEM, SOAR, GRC и других инструментов SOC и какие ещё выгоды от такой интеграции получит инфраструктура безопасности организации?

SOC: облачный или on-premise? Применение и трансформация решений

Многие компании в процессе развития ИБ-систем приходят к необходимости создания центра мониторинга и реагирования на инциденты в области информационной безопасности (Security Operations Center, SOC). SOC можно построить внутри компании или с использованием облачных сервисов. Важно разобраться в «плюсах» и «минусах» каждого подхода и выбрать для себя оптимальный.

Любой SIEM за ваши деньги, или запуск новых SIEM-платформ в SOC

Центры мониторинга и оперативного реагирования на ИБ-инциденты (SOC — Security Operations Center) часто пытаются конкурировать по количеству используемых SIEM-систем. Как устроен процесс подключения новой платформы в SOC и что стоит за громкими заявлениями в реальности?

Сравнения

Методика выбора оптимального средства защиты информации

Универсальная методика выбора защитного продукта или решения была впервые использована в крупномасштабном сравнении SIEM-систем, проведенном информационно-аналитическим центром Anti-Malware.ru. Индивидуальная специфика каждого конкретного класса аппаратных или программных разработок не играет в ней определяющей роли: достаточно сформулировать ключевые критерии и оценить их значимость. В силу этого методику можно рекомендовать для любого сценария, когда перед организацией стоит выбор между несколькими схожими средствами защиты информации. Расставьте приоритеты, вооружитесь калькулятором и узнайте, что подходит вам лучше всего. 

Сравнение SIEM-систем. Часть 2

Вторая часть публичного сравнения популярных российских и зарубежных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют FortiSIEM, AlienVault OSSIM, KOMRAD Enterprise SIEM, СёрчИнформ SIEM, NeuroDAT SIEM, Security Capsule и Платформа мониторинга ИБ Visor.

Сравнение SIEM-систем. Часть 1

Первое публичное сравнение популярных российских и иностранных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют Micro Focus (HP) ArcSight, McAfee ESM, IBM QRadar, RSA NetWitness, Splunk, MaxPatrol SIEM и RuSIEM. Дополнительно в сравнении приведена краткая инструкция для проведения собственной оценки и выбора оптимальной SIEM-системы, основываясь на результатах нашего сравнения.