Москва, 21 сентября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в бизнес-ужине компании Softline. Мероприятие состоялось 15 сентября 2022 года в Москве. Компанию RuSIEM представили ее совладелец Максим Степченков и менеджер по работе с ключевыми заказчиками Альбина Бухарова. Максим поприветствовал собравшихся, после чего слово взяла его коллега. Она рассказала участникам о разрабатываемой компанией RuSIEM одноименной системе мониторинга и управления событиями информационной безопасности, ее продуктовой линейке, решаемых задачах, схемах использования и лицензирования, а также областях применения и конкурентных преимуществах. В частности, Альбина рассказала о том, где может применяться SIEM-система RuSIEM. Это, в первую очередь, анализ таких событий, как:
блокировка учетных записей;
изменение конфигураций «не админами»;
повышение привилегий;
выявление несанкционированных сервисов;
обнаружение НСД (вход под учетной записью уволенного сотрудника);
отсутствие антивирусной защиты на новом установленном компьютере;
изменение критичных конфигураций с VPN-подключений;
аномальная активность пользователя (массовое удаление/копирование) и др.
Система позволяет:
контролировать выполняемые команды на серверах и сетевом оборудовании;
проводить аудит изменений конфигураций (сетевых устройств, приложений, ОС);
обнаруживать вирусные эпидемии;
обнаруживать обращения к вредоносному IP (База IoC);
обнаруживать атаки на web-сайт;
обнаруживать уязвимости по событию об установке ПО;
оповещать об активной уязвимости по запуску ранее отключенной службы;
обнаруживать распределенные по времени атаки;
анализировать влияние отказа в инфраструктуре на бизнес-процессы.
Важнейшую роль SIEM-система RuSIEM выполняет в расследовании инцидентов и атак: сетевых, финансовых (фрод и мошенничество), таргетированных. Альбина Бухарова привела примеры таких расследований (атака шифровальщика WannaCry, атака в сети TOR из локальной сети и другие). Рассказывая о ключевых изменениях в функционале системы, которые произошли в 2022 году, она отметила в первую очередь:
полноценную возможность создавать иерархические структуры SOC-ов с подчиненными SIEM-системами (Multitenancy);
механизм создания динамических списков и таблиц значений из сработок правил корреляций для их дальнейшего использования при выявлении угроз (аналитический модуль);
собственный список индикаторов компрометации – IP, домены для выявления актуальных угроз;
новый конструктор симптомов, который оптимизирует производительность и позволяет обогащать события;
разработку системы на Astra Linux (доступны все варианты установки: RvSIEM Free, RuSIEM, RuSIEM Analytics, RuSIEM IoC).
Отдельное внимание спикер акцентировала на том, что компания RuSIEM работает через партнерский канал с полной поддержкой со стороны вендора. Особенно важна, по ее словам, предоставляемая компанией возможность пресейл-менеджеров пройти обучение: сначала базовый курс, который знакомит их с системой RuSIEM и способами ее презентации заказчикам, а затем расширенный курс, окончание которого дает право на получение удостоверения о повышении квалификации. «Это стандартные условия, которые RuSIEM предлагает партнерам. Практика показывает, что в большинстве случаев двух курсов достаточно для того, чтобы сотрудники интегратора качественно и оперативно отрабатывали задачи заказчика, - отметила Альбина Бухарова. – В свою очередь, это дает компании Softline возможность подтверждать свой статус официального партнера, означающий высокий уровень предоставляемого заказчикам сервиса».