Ankey SIEM

Система для централизованного управления безопасностью, событиями и информацией. Эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.

Запросить демонстрацию

Заполните форму обратной связи для запроса демонстрации

Описание

Типичные трудности управления безопасностью

• Сложность контроля и анализа информации, поступающей от множества различных информационных систем и средств защиты информации: сетевое и серверное оборудование, системы видеонаблюдения, считыватели карт (СКУД) и многие другие инженерные подсистемы здания.

• Неполный и несвоевременный анализ событий (неверная интерпретация инцидентов, их возможная потеря, возможная потеря событий, задержки в информировании о нарушениях).

• Трудность связки событий различных источников в единую цепочку, потребность в автоматизации процесса принятия таких решений. Рассмотрим пример. Одна из камер зафиксировала, что кто-то пытается открыть запертую дверь в нерабочее время. Считыватель карт регистрирует вход в систему сотрудника, который работает только один день в неделю. Система контроля влажности в помещении с банковскими ячейками зафиксировала колебания на доли процента. Это изолированные события или часть скоординированной попытки проникновения? Если вам удастся сопоставить данные из разных источников и реализовать логику, например, чтобы проверить, должен ли сотрудник быть на рабочем месте в этот день, и пробовал ли раньше этот подозрительный человек открыть эту или другие запертые двери в здании, тогда вы поймете, когда и как следует действовать.

Решение - система Ankey SIEM, по результатам внедрения которой Вы получите:

Всеобъемлющую картину деятельности - вся информация о событиях безопасности у Вас под рукой.

Не только сбор и хранение данных (логов), но и их преобразование в единый вид. Объединяя разрозненную информацию Ankey SIEM своевременно выявляет, уведомляет и реагирует на угрозы, которые не в состоянии определить другие средства защиты с ограниченной видимостью.

Эффективное управление инцидентами и масштабными данными. Система находит связи между событиями в сетях, где регистрируются более миллиона таких событий в день, анализирует и обнаруживает все существующие и потенциальные угрозы задолго до их реализации.

Полную отчетность по информационным рискам для аудиторов, отчеты и правила для соответствия нормативным требованиям IT-отрасли.

Основные функции и особенности Ankey SIEM

Сбор и предварительная обработка:

автоматизация процесса сбора, фильтрации, нормализации, категорирования, агрегирования, приоритезации событий ИБ
единая русскоязычная консоль для доступа к собранным событиям
вспомогательная русскоязычная справочная система

Расследование событий и выявление инцидентов:

создание высокоуровневой картины состояния информационной безопасности предприятия с использованием встроенных инструментов: фильтры, отчеты, корреляционные правила, инструментальные панели

Визуализация событий безопасности реализуются с использованием следующих механизмов:

карта объектов с географическим расположением
отчёты, позволяющие отслеживать состояние информационной безопасности с высокой степенью детализации за выбранный период времени
инструментальные панели и активные каналы, отображающие события в режиме реального времени

Расширенная аналитика:

обеспечение специалистов ИБ инструментами эффективного анализа информации, на основе сценарного подхода (дашборды, типовые интерактивные отчеты с данными в табличном и графическом представлении) и аналитике в режиме самообслуживания (в режиме конструирования пользователем своих представлений анализируемых данных)
свободный поиск данных по всему массиву анализируемых данных
интерактивное формирование выборок данных, основанных на интересующих пользователя комбинациях атрибутов и объектов данных, выходящих за рамки стандартных отчетов
быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с возможностью фильтрации интересующих данных непосредственно в графических диаграммах
реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных

Решение предназначено:

для предприятий с распределенной структурой (холдинги, филиалы, обширная география)
предприятий банковской отрасли, госорганов, нефтегазовой, горнодобывающей и энергетической отраслей
компаний с высоким уровнем зрелости ИТ- и ИБ- процессов
организаций, заинтересованных в повышении уровня информационной безопасности

Выгоды и эффект использования Ankey SIEM:

снижение издержек – система своевременно реагирует на различные инциденты, что приводит к предотвращению возможного ущерба для организации
повышение качества работы имеющихся систем - в процессе интеграции проводится аудит имеющихся систем и их перенастройка, что увеличивает эффективность работы информационных систем
повышение эффективности управления информационной безопасностью
обеспечение соответствия требованиям ведущих отечественных и международных нормативных документов

Характеристики

Архитектура решения

Архитектура Ankey включает несколько компонентов, которые можно устанавливать по отдельности. Работая совместно, эти компоненты обрабатывают события, возникающие в вашей сети.

Smart агенты приводят транзакционные данные от устройств к нормализованной схеме, которая становится отправной точкой для корреляции. На рисунке ниже показаны основные компоненты ESM и дополнительные продукты Ankey, которые управляют потоком событий, упрощают их анализ и обеспечивают централизованное управление сетью и реагирование на инциденты.

Отдельные Smart-агенты и (или) Сервер Агентов собирают и обрабатывают данные о событиях, поступающих от сетевых устройств, и передают эту информацию Менеджеру.

Менеджер обрабатывает и сохраняет данные о событиях в хранилище. Если для аналитики возникающих инцидентов не требуется корреляция вместо Менеджера можно использовать программно-аппаратный комплекс Logger.

Пользователи отслеживают события с помощью инструмента Ankey Web и управляют группами пользователей и хранилищем CORR-Engine через Центр Управления Ankey, а также разрабатывают контент и проводят детальные расследования в консоли Ankey.

Комплексный набор дополнительных продуктов обеспечивает эффективное управление журналами и позволяет выполнять анализ статистики, администрировать сеть и мгновенно восстанавливать ее нормальное функционирование, а также помогает соблюдать нормативные требования и максимально подробно анализировать события.

Общие характеристики системы

Модель программного обеспечения	ESM 20	ESM 50	ESM 100	ESM 150	ESM 250
Всего гигабайт в день (Гбайт/день)	20	50	100	150	250
Среднее кол-во событий в сек.	1000	2500	5000	7500	12500
Сетевые устройства	100	250	500	500	500
Пользователи веб-интерфейса	10	25	25	25	25
Именованные пользователи консоли	2	3	3	3	3
Ресурсы с уязвимостями	10000	10000	10000	10000	10000
Агенты IdentityView	50	50	50	50	50
Включенные лицензии для Connector Management	4	4	4	4	4

Системные рекомендации

Низкие:

Процессоры: 8 ядер
Память: 36 Гбайт ОЗУ
Хранение данных: 250 Гбайт дискового пространства RAID 10, 15 000 об/мин

Средние:

Процессоры: 16 ядер
Память: 64 Гбайт ОЗУ
Хранение данных: 1,5 Тбайта дискового пространства RAID 10, 15 000 об/мин

Высокие:

Процессоры: 32 ядра
Память: 128 Гбайт ОЗУ
Хранение данных: <= 8 Tбайт RAID 10, 15 000 об/мин

Поддерживаемые операционные системы:

Система:

Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
SUSE 11 SP3 (64-разрядная)

Консоль:

Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
SUSE 11 SP3 (64-разрядная)
Windows 7 SP1, 8, 8.1, Server 2008 R2
MacOS 10.7

Веб-браузеры:

Internet Explorer
Firefox
Chrome (Windows)
Safari (MacOS)

Материалы

Заказать