Типичные трудности управления безопасностью
• Сложность контроля и анализа информации, поступающей от множества различных информационных систем и средств защиты информации: сетевое и серверное оборудование, системы видеонаблюдения, считыватели карт (СКУД) и многие другие инженерные подсистемы здания.
• Неполный и несвоевременный анализ событий (неверная интерпретация инцидентов, их возможная потеря, возможная потеря событий, задержки в информировании о нарушениях).
• Трудность связки событий различных источников в единую цепочку, потребность в автоматизации процесса принятия таких решений. Рассмотрим пример. Одна из камер зафиксировала, что кто-то пытается открыть запертую дверь в нерабочее время. Считыватель карт регистрирует вход в систему сотрудника, который работает только один день в неделю. Система контроля влажности в помещении с банковскими ячейками зафиксировала колебания на доли процента. Это изолированные события или часть скоординированной попытки проникновения? Если вам удастся сопоставить данные из разных источников и реализовать логику, например, чтобы проверить, должен ли сотрудник быть на рабочем месте в этот день, и пробовал ли раньше этот подозрительный человек открыть эту или другие запертые двери в здании, тогда вы поймете, когда и как следует действовать.
Решение - система Ankey SIEM, по результатам внедрения которой Вы получите:
Всеобъемлющую картину деятельности - вся информация о событиях безопасности у Вас под рукой.
Не только сбор и хранение данных (логов), но и их преобразование в единый вид. Объединяя разрозненную информацию Ankey SIEM своевременно выявляет, уведомляет и реагирует на угрозы, которые не в состоянии определить другие средства защиты с ограниченной видимостью.
Эффективное управление инцидентами и масштабными данными. Система находит связи между событиями в сетях, где регистрируются более миллиона таких событий в день, анализирует и обнаруживает все существующие и потенциальные угрозы задолго до их реализации.
Полную отчетность по информационным рискам для аудиторов, отчеты и правила для соответствия нормативным требованиям IT-отрасли.
Основные функции и особенности Ankey SIEM
Сбор и предварительная обработка:
- автоматизация процесса сбора, фильтрации, нормализации, категорирования, агрегирования, приоритезации событий ИБ
- единая русскоязычная консоль для доступа к собранным событиям
- вспомогательная русскоязычная справочная система
Расследование событий и выявление инцидентов:
- создание высокоуровневой картины состояния информационной безопасности предприятия с использованием встроенных инструментов: фильтры, отчеты, корреляционные правила, инструментальные панели
Визуализация событий безопасности реализуются с использованием следующих механизмов:
- карта объектов с географическим расположением
- отчёты, позволяющие отслеживать состояние информационной безопасности с высокой степенью детализации за выбранный период времени
- инструментальные панели и активные каналы, отображающие события в режиме реального времени
Расширенная аналитика:
- обеспечение специалистов ИБ инструментами эффективного анализа информации, на основе сценарного подхода (дашборды, типовые интерактивные отчеты с данными в табличном и графическом представлении) и аналитике в режиме самообслуживания (в режиме конструирования пользователем своих представлений анализируемых данных)
- свободный поиск данных по всему массиву анализируемых данных
- интерактивное формирование выборок данных, основанных на интересующих пользователя комбинациях атрибутов и объектов данных, выходящих за рамки стандартных отчетов
- быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с возможностью фильтрации интересующих данных непосредственно в графических диаграммах
- реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных
Решение предназначено:
- для предприятий с распределенной структурой (холдинги, филиалы, обширная география)
- предприятий банковской отрасли, госорганов, нефтегазовой, горнодобывающей и энергетической отраслей
- компаний с высоким уровнем зрелости ИТ- и ИБ- процессов
- организаций, заинтересованных в повышении уровня информационной безопасности
Выгоды и эффект использования Ankey SIEM:
- снижение издержек – система своевременно реагирует на различные инциденты, что приводит к предотвращению возможного ущерба для организации
- повышение качества работы имеющихся систем - в процессе интеграции проводится аудит имеющихся систем и их перенастройка, что увеличивает эффективность работы информационных систем
- повышение эффективности управления информационной безопасностью
- обеспечение соответствия требованиям ведущих отечественных и международных нормативных документов
Система мониторинга и управления событиями безопасности Ankey SIEM эффективно решает задачи автоматизации мониторинга активности в ИТ-инфраструктуре, выявления инцидентов информационной безопасности и кибератак.
Архитектура решения
Программный комплекс Ankey SIEM состоит из нескольких компонентов – основных и дополнительных.
Основными компонентами программного комплекса Ankey SIEM являются:
Cервер сбора событий – предназначен для размещения программного обеспечения Ankey SIEM Smart Connectors, Ankey SIEM Flex Connectors, и, опционально, программного обеспечения Ankey SIEM Management Center с целью организации централизованного сбора, нормализации, категоризации событий из записей журналов регистрации от различных источников, а также централизованного управления другими серверами сбора событий и коннекторами в их составе. После предварительной обработки события информационной безопасности передаются на сервер корреляции для выполнения последующей обработки.
Cервер корреляции – предназначен для размещения программного обеспечения Ankey SIEM Enterprise Security Manager и обработки поступивших событий информационной безопасности от сервера сбора событий или от сервера хранения. Выполняет основные функций анализа и корреляции, а также управления обработанными событиями информационной безопасности. Результаты анализа и корреляции событий информационной безопасности сервер корреляции направляет администраторам программного комплекса Ankey SIEM путем отображения оповещений в графических консолях управления.
Автоматизированное рабочее место администратора – предназначено для развертывания программного обеспечения Ankey SIEM Console, а также для работы с компонентами программного комплекса Ankey SIEM через графические консоли управления.
К дополнительным компонентам программного комплекса Ankey SIEM относятся:
Сервер хранения – предназначен для развертывания программного обеспечения Ankey SIEM Logger. Сервер хранения выполняет следующие функции:
- прием обработанных событий информационной безопасности от серверов сбора событий
- индексация и размещение событий информационной безопасности в локальной базе данных
- сквозной поиск и мониторинг событий информационной безопасности
- долговременное хранение нормализованных событий информационной безопасности
Cервер аналитики – Ankey SIEM Advanced Analytics, представляет собой набор аналитических инструментов для анализа поступающих событий информационной безопасности. Модули Ankey SIEM Advanced Analytics задействуют программное обеспечение Qlik Sense в качестве среды функционирования. Сервер аналитики в составе программного комплекса Ankey SIEM выполняет аналитическую обработку данных, предоставленных сервером управления событиями, для выявления подозрительных и неестественных закономерностей среди действий пользователей в инфраструктуре, а также предназначен для интерактивного графического представления этих данных.
Комплексное применение основных и дополнительных компонентов Ankey SIEM обеспечивает эффективное управление событиями и подозрениями на инциденты информационной безопасности, позволяет выполнять расширенный событийный анализ, а также помогает контролировать соблюдение нормативных требований и стандартов в области безопасности информации.
Компоненты Ankey SIEM возможно развернуть как на выделенной аппаратной платформе, так и в виртуальной среде.
Требования к вычислительным ресурсам компонентов Ankey SIEM при развертывании на аппаратной платформе.
Сервер корреляции
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 2 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 2000 IOPS.
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 32 ядер, 2.4 ГГц
- Оперативная память: 192 ГБ
- Жесткий диск: не менее 6 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 10000 IOPS.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 40 ядер, 2.4 ГГц
- Оперативная память: 512 ГБ
- Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.
Сервер сбора событий
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 8 ядер, 2.4 ГГц
- Оперативная память: 24 Гбайт
- Жесткий диск: не менее 0,5 Тбайт. Зависит от сроков хранения событий
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 48 ГБ
- Жесткий диск: не менее 1 ТБ. Зависит от сроков хранения событий.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 20 ядер, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 2 ТБ. Зависит от сроков хранения событий.
Сервер хранения
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 12 ядер, 2.4 ГГц
- Оперативная память: 32 ГБ
- Жесткий диск: не менее 4 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 2000 IOPS.
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 24 ядера, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 10000 IOPS.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 20 ядер, 2.4 ГГц
- Оперативная память: 128 ГБ
- Жесткий диск: не менее 18 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.
Сервер аналитики
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 4 ядера, 2.4 ГГц
- Оперативная память: 128 ГБ
- Жесткий диск: не менее 2 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 8 ядер, 2.4 ГГц
- Оперативная память: 256 ГБ
- Жесткий диск: не менее 4 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 512 ГБ
- Жесткий диск: не менее 8 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Автоматизированное рабочее место администраторов ПК Ankey SIEM.
- операционная система MS Windows 7 Professional (x86/x64)
- Процессор: не ниже Intel Core i3 (или аналогичный) с частотой 3.4 ГГц
- Оперативная память: 4 ГБ
- Жесткий диск: не менее 100 ГБ
- Разрешение экрана и диагональ: рекомендуется разрешение не ниже 1920х1080, диагональ не менее 23”
- Дополнительное ПО: Internet Explorer не ниже версии 8.0; Google Chrome не ниже версии 60.0; Яндекс.Браузер не ниже версии 17.10
При развертывании компонентов Ankey SIEM в виртуальной среде потребуется на 20 % больше вычислительных ресурсов по сравнению с требованиями к аппаратной реализации.
Если Вы хотите приобрести данный продукт, пожалуйста, заполните необходимые поля формы заказа и отправьте запрос нашим специалистам.
С Вами обязательно свяжутся в ближайшее время.
