Заполните поля и мы с Вами свяжемся!
Модуль для коммерческой версии RuSIEM, дополняющий систему технологиями машинного обучения (ML) и Data Learning (DL) для обнаружения угроз и поведенческих аномалий.
Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
RuSIEM Analytics
→
→
Все поля обязательны для заполнения.
Нажимая кнопку «Связаться с нами», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Нажимая кнопку «Связаться с нами», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Возможности RuSIEM Analytics
→
→
→
→
Система использует подходы Data Learning (DL) и машинного обучения (ML) для автоматического выявления отклонений от нормального поведения. ML-модуль работает по технологии «Симптоматика®» и формирует события при накоплении подозрительной активности, не требуя участия оператора. Дополнительно можно подключать собственные модели в формате PMML
→
→
→
→
Механизм baseline позволяет задавать до 21 ключа для анализа, настраивать использование исторических данных (например, за 21 день), учитывать день недели и допустимый уровень отклонений. Это позволяет выявлять как нестандартные действия пользователей, так и технические сбои, без необходимости прописывать каждый сценарий вручную
→
→
→
→
Модуль отслеживает параметры входа: IP-адрес, имя клиента, имя сервера, пользователя и другие атрибуты. При выявлении отклонений — например, вход с нового IP или другого клиента — формируется инцидент с уведомлением операторов. Вся история входов сохраняется и доступна для анализа
→
→
→
→
Система содержит регулярно обновляемую базу уязвимостей с возможностью поиска по CVE, CVSS и ключевым словам. При нахождении соответствий в активных системах создаются сущности уязвимостей и инциденты автоматически. Уязвимости отображаются прямо на карточке актива
→
→
→
→
Модуль поддерживает стандарт PCI DSS 3.1 с преднастроенными техническими контролями. Пользователь может создать собственный стандарт, задать области охвата и контролировать выполнение требований. Результаты аудита доступны в виде отчётов с указанием соответствия по каждому пункту
→
→
→
→
RuSIEM Analytics собирает информацию об оборудовании, программном обеспечении, патчах, службах и сетевых соединениях. Наполнение активов происходит как активными, так и пассивными методами. Поддерживаются агенты, сетевые сенсоры и сканеры (WmiSoftStat, HashLog, nmap, arp_scan и др.), позволяющие получать максимум информации без ручного ввода
→
→
→
→
Модуль может интегрироваться с любыми источниками событий, включая внутренние и внешние системы мониторинга. Вся полученная информация может использоваться в аналитике, правилах корреляции и отчетах. Поддерживаются фид-листы (IP, URL, hash и другие) и настройка чёрных/белых списков угроз
→
→
→
→
Решение масштабируется как горизонтально (по производительности), так и вертикально (по филиалам и регионам). Компоненты системы могут быть установлены на разных серверах, а база данных разворачивается в кластере без дополнительных лицензий
Пример работы Baseline
Реакция системы
Baseline фиксирует аномалию
Запускается корреляция и создается инцидент
Аналогично отслеживаются попытки входа, изменение конфигураций, частые ошибки, атаки и сбои
Пользователь user111 обычно удаляет 20 файлов по понедельникам и 40 по четвергам. Вдруг он или другой сотрудник удаляет 200 файлов за час
Преимущества RuSIEM Analytics
- Автоматическое выявление угрозСистема работает на основе поведения и выявляет отклонения без ручных сценариев
- Гибкая настройка аналитикиСоздание baseline-правил под любые параметры
- ПрозрачностьВсе действия фиксируются и визуализируются
- ИнтеграцияПоддерживаются различные источники и сенсоры
-
Масштабируемость
Подходит как для малого офиса, так и для распределенной компании - Реальная картина активовДанные об оборудовании, ПО, службах и соединениях в одном месте
Лицензирование
Мы предлагаем гибкую модель лицензирования
Бессрочная и срочная лицензия
Лицензирование по EPS
Без ограничений на количество источников и событий
Адаптация под требования заказчика
Интеллектуальный анализ событий на основе симптомов и поведенческих аномалий позволяет выявлять инциденты, которые нельзя описать правилами корреляции
Попробуйте демо-версию или получите консультацию специалиста, мы свяжемся с Вами в течение рабочего дня
Получите демо-доступ
Масштабирование
- Масштабируется вертикально (по филиалам и регионам)
- Масштабируется горизонтально (увеличение производительности)
- Кластер базы данных может быть установлен на несколько серверов (без дополнительных лицензий)
- Возможно разделить компоненты по нескольким серверам
Часто задаваемые вопросы
Модуль использует технологии Data Learning (DL) и машинного обучения (ML) для выявления поведенческих аномалий. Он строит baseline-модель на основе вашей собственной истории событий — учитывает день недели, ключевые параметры (например, имя пользователя + тип действия), допустимый процент отклонений и многое другое. Если происходит нетипичное поведение (например, резкий рост числа удалений файлов или неудачных попыток входа), система зафиксирует отклонение, сформирует событие, а затем — инцидент через механизм корреляции.
ML-модуль работает полностью автономно. Он обучается на собственных данных и оценивает веса симптомов в разрезе объектов: хостов, пользователей, сервисов и т.д. При накоплении подозрительного поведения (например, всплеска критичных симптомов, множественных повторений событий и т.д.) он автоматически инициирует событие и инцидент. Настройка со стороны оператора не требуется, но при необходимости можно подключить и пользовательские модели в формате PMML.
Правило baseline состоит из набора параметров:
- Наблюдаемая связка ключей (до 21 ключа в одном правиле)
- Использование исторических данных (обычно за 21 день)
- Учет уникальности дня (например, сравнение понедельников с понедельниками)
- Допустимый процент отклонения от нормы
Модуль поддерживает широкий спектр источников:
- События от ОС (Windows/*nix), сетевых устройств, систем мониторинга
- WmiSoftStat — безагентный сбор ПО и патчей
- HashLog — сбор хэшей процессов
- nmap, arp_scan — сканирование сети
- DPI-сенсор — анализирует сетевые соединения, HTTP-запросы, сертификаты, файлы
- Фид-листы с IP, FQDN, URL, hash значениями
В RuSIEM встроена постоянно обновляемая база известных уязвимостей. Система сопоставляет данные, полученные от активов (ПО, патчи, версии ОС и т.д.), с базой CVE/CVSS. В случае совпадения автоматически создаётся сущность уязвимости и инцидент. Вся информация отображается на уровне актива, доступен поиск и фильтрация уязвимостей по различным параметрам.
Да. В модуле предусмотрен предустановленный стандарт PCI DSS 3.1, но вы можете создать собственный стандарт или политику. Это включает задание технических контролей, определение области охвата (scope) и формирование отчётов, которые показывают соответствие или несоответствие по каждому пункту.
Активы формируются и обновляются автоматически на основе входящих событий. Информация включает установленные приложения, службы, версии ОС, патчи, сетевые соединения и многое другое. Также поддерживается разделение на статические и динамические группы — например, можно создать группу с условием «открыт порт 22» или «установлен TeamViewer», и система будет динамически поддерживать её актуальность.
Экосистема RuSIEM
Мы предоставляем возможность попробовать триальную версию. Продукт может быть развернут у вас вашими силами, либо мы можем подобрать сертифицированного партнера, который вам поможет установить и настроить.
Демо-версия