Система мониторинга и анализа событий безопасности от различных источников (ПО, компьютеров, оборудования и т.д.) в реальном времени, корреляции событий и реагирования на инциденты ИБ.
Основные возможности
- Собирает события из различных программных и аппаратных источников, позволяет работать с логами в рамках единого интерфейса. Система выявляет подбор паролей, изменение конфигураций и настроек, попытки нелегитимного доступа к сети или ее сегментам, взломы, DDoS- и другие кибератаки, вирусные заражения и эпидемии, сбои и ошибки в работе ПО, перегрев оборудования и т.д. Сбор данных может происходить по трем сценариям: через прямое подключение к источнику, с самостоятельной отправкой данных от источника к серверу, через агента (если источник поддерживает агентский режим работы);
- Проводит анализ событий и формирует инциденты в соответствии с правилами, детектирует угрозы путем выявления взаимосвязи (корреляций, в т.ч. кросс-корреляций) событий и/или инцидентов. В системе предустановлено более 300 готовых правил корреляции, также можно создать любое количество новых;
- Автоматически извещает ответственных лиц об инцидентах. Система имеет 3 вида уведомлений: уведомления в консоли, email-оповещения и отправка алертов в Telegram;
- Нормализует и детализирует инциденты для дальнейшего расследования: определяет тип, источник инцидента, при интеграции с AD – пользователя, вероятно причастного к событию. В системе можно увидеть все проблемные хосты с большим количеством инцидентов и начать углубленное расследование, чтобы выяснить, кто из пользователей виновен или какое оборудование имеет неисправность;
- Позволяет управлять расследованиями и готовить отчетность. Во встроенном таск-менеджере можно объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии, подводить итоги и выгружать их в отчёт, а также экспортировать цепочку событий, приведших к инциденту, в правило кросс-корреляции. Система может передавать результаты расследований и аудитов безопасности в ГосСОПКА, а также в SOC-систему R-Vision.
Дополнительные возможности
- Легкое внедрение;
- Простота использования;
- Подходит среднему и малому бизнесу;
- Учитывает опыт тысяч клиентов;
- Симбиоз SIEM и DLP;
- Сопровождение клиента.
Условия приобретения
Цена зависит от количества закупаемых лицензий и рассчитывается индивидуально под запрос.