Заполните поля и мы с Вами свяжемся!
Модуль для коммерческой версии RuSIEM, дополняющий систему технологиями машинного обучения (ML) и Deep Learning (DL) для обнаружения угроз и поведенческих аномалий.
Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности — всё в одном интерфейсе
RuSIEM Analytics
→
→
Все поля обязательны для заполнения.
Нажимая кнопку «Связаться с нами», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Нажимая кнопку «Связаться с нами», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Возможности RuSIEM Analytics
→
→
→
→
Система использует подходы Deep Learning (DL) и машинного обучения (ML), что позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии
Подсистема BASELINE предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и выявление аномалий в инфраструктуре на их основе
Подсистема BASELINE предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и выявление аномалий в инфраструктуре на их основе
→
→
→
→
Отслеживание аутентификации - благодаря статистике, работе машинного обучения (ML) система определяет легитимные действия. При создании триггера можно выявлять подозрительные\не легитимные действия, которые нельзя обнаружить обычными правилами корреляции
→
→
→
→
Система содержит регулярно обновляемую базу уязвимостей с возможностью поиска по CVE, CVSS и ключевым словам. Данные берутся из БДУ ФСТЭК, Nist и cwe.mitre.org.
→
→
→
→
RuSIEM Analytics собирает информацию об оборудовании, сети, пользователях и дисковом пространстве. Наполнение активов происходит как активными, так и пассивными методами
Обнаружение аномалий и правила Baseline
Поведенческий анализ предназначен для выявления на ранних стадиях инцидентов информационной безопасности, связанных с аномалиями в поведении пользователей или сущностей.
Дополнительно модуль поведенческого анализа позволяет отслеживать аутентификацию пользователей и предоставляет возможность генерации инцидентов при входе любого пользователя в любую систему-источник с IР-адреса, вход с которого ранее не осуществлялся данным пользователем, либо на хост, вход на который ранее не осуществлялся данным пользователем.
Функция поведенческого анализа также предоставляет возможность создания пользовательских сценариев входа и выхода
Дополнительно модуль поведенческого анализа позволяет отслеживать аутентификацию пользователей и предоставляет возможность генерации инцидентов при входе любого пользователя в любую систему-источник с IР-адреса, вход с которого ранее не осуществлялся данным пользователем, либо на хост, вход на который ранее не осуществлялся данным пользователем.
Функция поведенческого анализа также предоставляет возможность создания пользовательских сценариев входа и выхода
Пример работы Baseline
Пользователь user111 обычно удаляет 20 файлов по понедельникам и 40 по четвергам. Вдруг он удаляет 200 файлов за час, что не похоже на его обычную активность в данное время.
Реакция системы
Запускается корреляция и создается инцидент
Отслеживаются попытки входа, изменение конфигураций, частые ошибки, атаки и сбои
Baseline фиксирует аномалию
Мы создаем правило, содержащее уникальную связку user.name + symptoms.id, устанавливаем величину требуемого отклонения и указываем учет уникальности дня недели (тип – Исторические). Величина отклонения – это параметр вероятностного анализа, как в «Правиле трех Сигм»: установив 1 мы будем отслеживать с высокой чувствительностью небольшие всплески, 2 – значительные вспышки активности, 3 – наиболее значимые аномалии.
Модуль Baseline начинает собирать количество уникальных связок user.name + symptoms.id по дням недели в определенные промежутки времени, отличая 8-00 понедельника от 16-30 воскресенья. Сюда попадают все пользователи и также другие symptoms.id, включая старт служб, входы, запуск приложений и прочие. После определенного периода, обучившись на реальных данных Вашей инфраструктуры, модуль Baseline начнет составлять свой прогноз поведения для каждого пользователя в разрезе действий, которые он ожидаемо совершает в данный момент.
Внезапно, пользователь user111 или user444 удаляют не как обычно 20-30 файлов, а 200 за раз. Аналитика видит отклонение от своего прогноза, формирует событие и отправляет на корреляцию. Корреляция с учетом возможных уточнений в правилах формирует инцидент, где ключами является user.name+symptoms.id (только значение будут примерно «user111 + удаление_файлов»). При этом, данное правило аналитики будет также смотреть за другими уникальными связками в данном контексте. Например, «Admin + неуспешный вход», «Glav_buh + изменение конфигураций » и прочее. Таким образом, создав некое распределение с уникальными ключами мы покрываем достаточно большой объем кейсов. И неважно, что произойдет. Это может быть частый краш приложений, количество отправленных электронных писем, количество отказанных в доступе попыток и многое другое! Нет необходимости придумывать миллионы кейсов, когда это можно описать десятком-других правил. Ведь если случаются вирус, атака, сбои — образуется хоть небольшой, но все же всплеск по количеству событий.
С помощью правила с ключами «http.status.code + symptoms.id» возможно мониторить, к примеру, количество ошибок, доступность сайта, попытки зайти на запрещенный ресурс, состояние прокси сервера и многое другое. С ключами «hostname + symptoms.id» — от количества неуспешных попыток до количества заказов на сайте.
Количество правил — не лимитировано. Количество наблюдаемых ключей в правиле — до 21. Для корректной работы модуля рекомендуется накопленная выборка от 15 недель.
Для Baseline в разделе Аналитика имеются также виджеты для работы с модулем. На них можно вынести любые показатели для анализа тенденций.
Модуль Baseline начинает собирать количество уникальных связок user.name + symptoms.id по дням недели в определенные промежутки времени, отличая 8-00 понедельника от 16-30 воскресенья. Сюда попадают все пользователи и также другие symptoms.id, включая старт служб, входы, запуск приложений и прочие. После определенного периода, обучившись на реальных данных Вашей инфраструктуры, модуль Baseline начнет составлять свой прогноз поведения для каждого пользователя в разрезе действий, которые он ожидаемо совершает в данный момент.
Внезапно, пользователь user111 или user444 удаляют не как обычно 20-30 файлов, а 200 за раз. Аналитика видит отклонение от своего прогноза, формирует событие и отправляет на корреляцию. Корреляция с учетом возможных уточнений в правилах формирует инцидент, где ключами является user.name+symptoms.id (только значение будут примерно «user111 + удаление_файлов»). При этом, данное правило аналитики будет также смотреть за другими уникальными связками в данном контексте. Например, «Admin + неуспешный вход», «Glav_buh + изменение конфигураций » и прочее. Таким образом, создав некое распределение с уникальными ключами мы покрываем достаточно большой объем кейсов. И неважно, что произойдет. Это может быть частый краш приложений, количество отправленных электронных писем, количество отказанных в доступе попыток и многое другое! Нет необходимости придумывать миллионы кейсов, когда это можно описать десятком-других правил. Ведь если случаются вирус, атака, сбои — образуется хоть небольшой, но все же всплеск по количеству событий.
С помощью правила с ключами «http.status.code + symptoms.id» возможно мониторить, к примеру, количество ошибок, доступность сайта, попытки зайти на запрещенный ресурс, состояние прокси сервера и многое другое. С ключами «hostname + symptoms.id» — от количества неуспешных попыток до количества заказов на сайте.
Количество правил — не лимитировано. Количество наблюдаемых ключей в правиле — до 21. Для корректной работы модуля рекомендуется накопленная выборка от 15 недель.
Для Baseline в разделе Аналитика имеются также виджеты для работы с модулем. На них можно вынести любые показатели для анализа тенденций.
Мы предоставляем возможность попробовать триальную версию. Продукт может быть развернут у вас вашими силами, либо мы можем подобрать сертифицированного партнера, который вам поможет установить и настроить.
Демо-версия
Преимущества RuSIEM Analytics
- Автоматическое выявление угрозСистема работает на основе поведения и выявляет отклонения без ручных сценариев
- Гибкая настройка аналитикиСоздание baseline-правил под любые параметры
- ПрозрачностьВсе действия фиксируются и визуализируются
- Реальная картина активовДанные об оборудовании, соединениях и пользователях в одном месте
Лицензирование
Мы предлагаем гибкую модель лицензирования
Лицензирование на любое количество EPS
Без ограничений на количество источников
Адаптация под требования заказчика
Интеллектуальный анализ событий на основе симптомов и поведенческих аномалий позволяет выявлять инциденты, которые нельзя описать правилами корреляции
Попробуйте демо-версию или получите консультацию специалиста, мы свяжемся с Вами в течение рабочего дня
Получите демо-доступ
Часто задаваемые вопросы
Модуль использует технологии Deep Learning (DL) и машинного обучения (ML) для выявления поведенческих аномалий. Он строит baseline-модель на основе вашей собственной истории событий — учитывает день недели, ключевые параметры (например, имя пользователя + тип действия), допустимый процент отклонений и многое другое. Если происходит нетипичное поведение (например, резкий рост числа удалений файлов или неудачных попыток входа), система зафиксирует отклонение, сформирует событие, а затем — инцидент через механизм корреляции.
ML-модуль работает полностью автономно. Он обучается на собственных данных и оценивает веса симптомов в разрезе объектов: хостов, пользователей, сервисов и т.д. При выялении подозрительного поведения (например, всплеска критичных симптомов, множественных повторений событий и т.д.) он автоматически инициирует событие и инцидент. Настройка со стороны оператора не требуется, но при необходимости можно подключить и пользовательские правила baseline.
Правило baseline состоит из набора параметров:
- Наблюдаемая связка ключей (до 21 ключа в одном правиле)
- Учет уникальности дня (например, сравнение понедельников с понедельниками)
- Допустимый отклонение от нормы (3-sigma rule)
Модуль "RuSIEM Analytics" пропускает через себя все события, которые попадают в систему RuSIEM.
Да. В модуле предусмотрен предустановленный стандарт PCI DSS 3.1, но вы можете создать собственный стандарт или политику. Это включает задание технических контролей, определение области охвата (scope) и формирование отчётов, которые показывают соответствие или несоответствие по каждому пункту.
Активы формируются и обновляются автоматически на основе модуля агента system.info. Информация включает физическое оборудование, версии ОС, патчи, сетевые соединения и многое другое. Также поддерживается разделение на статические и динамические группы — например, можно создать группу с условием «открыт порт 22», и система будет динамически поддерживать её актуальность.
RuSIEM поддерживает сотни форматов логов и источников данных — от ОС и сетевых устройств до облачных сервисов и бизнес-приложений. Система использует готовые парсеры и позволяет быстро добавлять новые
Какие события обрабатывает RuSIEM?
Экосистема RuSIEM
Узнайте, как другие компании уже используют RuSIEM для мониторинга, реагирования и выполнения требований регуляторов
Реальные кейсы внедрения RuSIEM
У нас широкая партнёрская сеть по всей России и СНГ — вы можете обратиться к нашим авторизованным партнёрам за консультацией, внедрением или технической поддержкой
Ищете, с кем обсудить внедрение RuSIEM?
Мы регулярно выпускаем обновления, расширяя функциональность и улучшая производительность. Новые версии включают улучшения интерфейса, новые модули, поддержку дополнительных источников и многое другое
История изменений и новых функций
Остались вопросы?
Все поля обязательны для заполнения.
Нажимая кнопку «Зарегистрироваться», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности
Нажимая кнопку «Зарегистрироваться», Вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности