Ankey SIEM

Система для централизованного управления безопасностью, событиями и информацией. Эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.

Запросить демонстрацию

Заполните форму обратной связи для запроса демонстрации

Описание

Типичные трудности управления безопасностью

• Сложность контроля и анализа информации, поступающей от множества различных информационных систем и средств защиты информации: сетевое и серверное оборудование, системы видеонаблюдения, считыватели карт (СКУД) и многие другие инженерные подсистемы здания.

• Неполный и несвоевременный анализ событий (неверная интерпретация инцидентов, их возможная потеря, возможная потеря событий, задержки в информировании о нарушениях).

• Трудность связки событий различных источников в единую цепочку, потребность в автоматизации процесса принятия таких решений. Рассмотрим пример. Одна из камер зафиксировала, что кто-то пытается открыть запертую дверь в нерабочее время. Считыватель карт регистрирует вход в систему сотрудника, который работает только один день в неделю. Система контроля влажности в помещении с банковскими ячейками зафиксировала колебания на доли процента. Это изолированные события или часть скоординированной попытки проникновения? Если вам удастся сопоставить данные из разных источников и реализовать логику, например, чтобы проверить, должен ли сотрудник быть на рабочем месте в этот день, и пробовал ли раньше этот подозрительный человек открыть эту или другие запертые двери в здании, тогда вы поймете, когда и как следует действовать.

Решение - система Ankey SIEM, по результатам внедрения которой Вы получите:

Всеобъемлющую картину деятельности - вся информация о событиях безопасности у Вас под рукой.

Не только сбор и хранение данных (логов), но и их преобразование в единый вид. Объединяя разрозненную информацию Ankey SIEM своевременно выявляет, уведомляет и реагирует на угрозы, которые не в состоянии определить другие средства защиты с ограниченной видимостью.

Эффективное управление инцидентами и масштабными данными. Система находит связи между событиями в сетях, где регистрируются более миллиона таких событий в день, анализирует и обнаруживает все существующие и потенциальные угрозы задолго до их реализации.

Полную отчетность по информационным рискам для аудиторов, отчеты и правила для соответствия нормативным требованиям IT-отрасли.

Основные функции и особенности Ankey SIEM

Сбор и предварительная обработка:

автоматизация процесса сбора, фильтрации, нормализации, категорирования, агрегирования, приоритезации событий ИБ
единая русскоязычная консоль для доступа к собранным событиям
вспомогательная русскоязычная справочная система

Расследование событий и выявление инцидентов:

создание высокоуровневой картины состояния информационной безопасности предприятия с использованием встроенных инструментов: фильтры, отчеты, корреляционные правила, инструментальные панели

Визуализация событий безопасности реализуются с использованием следующих механизмов:

карта объектов с географическим расположением
отчёты, позволяющие отслеживать состояние информационной безопасности с высокой степенью детализации за выбранный период времени
инструментальные панели и активные каналы, отображающие события в режиме реального времени

Расширенная аналитика:

обеспечение специалистов ИБ инструментами эффективного анализа информации, на основе сценарного подхода (дашборды, типовые интерактивные отчеты с данными в табличном и графическом представлении) и аналитике в режиме самообслуживания (в режиме конструирования пользователем своих представлений анализируемых данных)
свободный поиск данных по всему массиву анализируемых данных
интерактивное формирование выборок данных, основанных на интересующих пользователя комбинациях атрибутов и объектов данных, выходящих за рамки стандартных отчетов
быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с возможностью фильтрации интересующих данных непосредственно в графических диаграммах
реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных

Решение предназначено:

для предприятий с распределенной структурой (холдинги, филиалы, обширная география)
предприятий банковской отрасли, госорганов, нефтегазовой, горнодобывающей и энергетической отраслей
компаний с высоким уровнем зрелости ИТ- и ИБ- процессов
организаций, заинтересованных в повышении уровня информационной безопасности

Выгоды и эффект использования Ankey SIEM:

снижение издержек – система своевременно реагирует на различные инциденты, что приводит к предотвращению возможного ущерба для организации
повышение качества работы имеющихся систем - в процессе интеграции проводится аудит имеющихся систем и их перенастройка, что увеличивает эффективность работы информационных систем
повышение эффективности управления информационной безопасностью
обеспечение соответствия требованиям ведущих отечественных и международных нормативных документов

Характеристики

Система мониторинга и управления событиями безопасности Ankey SIEM эффективно решает задачи автоматизации мониторинга активности в ИТ-инфраструктуре, выявления инцидентов информационной безопасности и кибератак.

Архитектура решения

Программный комплекс Ankey SIEM состоит из нескольких компонентов – основных и дополнительных.

Основными компонентами программного комплекса Ankey SIEM являются:

Cервер сбора событий – предназначен для размещения программного обеспечения Ankey SIEM Smart Connectors, Ankey SIEM Flex Connectors, и, опционально, программного обеспечения Ankey SIEM Management Center с целью организации централизованного сбора, нормализации, категоризации событий из записей журналов регистрации от различных источников, а также централизованного управления другими серверами сбора событий и коннекторами в их составе. После предварительной обработки события информационной безопасности передаются на сервер корреляции для выполнения последующей обработки.

Cервер корреляции – предназначен для размещения программного обеспечения Ankey SIEM Enterprise Security Manager и обработки поступивших событий информационной безопасности от сервера сбора событий или от сервера хранения. Выполняет основные функций анализа и корреляции, а также управления обработанными событиями информационной безопасности. Результаты анализа и корреляции событий информационной безопасности сервер корреляции направляет администраторам программного комплекса Ankey SIEM путем отображения оповещений в графических консолях управления.

Автоматизированное рабочее место администратора – предназначено для развертывания программного обеспечения Ankey SIEM Console, а также для работы с компонентами программного комплекса Ankey SIEM через графические консоли управления.

К дополнительным компонентам программного комплекса Ankey SIEM относятся:

Сервер хранения – предназначен для развертывания программного обеспечения Ankey SIEM Logger. Сервер хранения выполняет следующие функции:

прием обработанных событий информационной безопасности от серверов сбора событий
индексация и размещение событий информационной безопасности в локальной базе данных
сквозной поиск и мониторинг событий информационной безопасности
долговременное хранение нормализованных событий информационной безопасности

Cервер аналитики – Ankey SIEM Advanced Analytics, представляет собой набор аналитических инструментов для анализа поступающих событий информационной безопасности. Модули Ankey SIEM Advanced Analytics задействуют программное обеспечение Qlik Sense в качестве среды функционирования. Сервер аналитики в составе программного комплекса Ankey SIEM выполняет аналитическую обработку данных, предоставленных сервером управления событиями, для выявления подозрительных и неестественных закономерностей среди действий пользователей в инфраструктуре, а также предназначен для интерактивного графического представления этих данных.

Комплексное применение основных и дополнительных компонентов Ankey SIEM обеспечивает эффективное управление событиями и подозрениями на инциденты информационной безопасности, позволяет выполнять расширенный событийный анализ, а также помогает контролировать соблюдение нормативных требований и стандартов в области безопасности информации.

shema-ankey

Компоненты Ankey SIEM возможно развернуть как на выделенной аппаратной платформе, так и в виртуальной среде.

Требования к вычислительным ресурсам компонентов Ankey SIEM при развертывании на аппаратной платформе.

Сервер корреляции

Базовая инсталляция (до 2500 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 16 ядер, 2.5 ГГц
Оперативная память: 64 ГБ
Жесткий диск: не менее 4 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 5000 IOPS.

Расширенная инсталляция (до 10000 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 32 ядра, 2.5 ГГц
Оперативная память: 192 ГБ
Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.

Высокопроизводительная инсталляция (до 20000 событий/сек*):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 60 ядер, 2.5 ГГц
Оперативная память: 1 ТБ
Жесткий диск: не менее 24 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 40000 IOPS.

Сервер сбора событий

Базовая инсталляция (до 2500 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 12 ядер, 2.5 ГГц
Оперативная память: 32 Гбайт
Жесткий диск: не менее 1 Тбайт. Зависит от сроков хранения событий

Расширенная инсталляция (до 10000 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 20 ядер, 2.5 ГГц
Оперативная память: 48 ГБ
Жесткий диск: не менее 2 ТБ. Зависит от сроков хранения событий.

Высокопроизводительная инсталляция (до 20000 событий/сек*):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 32 ядра, 2.5 ГГц
Оперативная память: 64 ГБ
Жесткий диск: не менее 3 ТБ. Зависит от сроков хранения событий.

Сервер хранения

Базовая инсталляция (до 2500 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 16 ядер, 2.5 ГГц
Оперативная память: 64 ГБ
Жесткий диск: не менее 8 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 5000 IOPS.

Расширенная инсталляция (до 10000 событий/сек):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 24 ядра, 2.5 ГГц
Оперативная память: 128 ГБ
Жесткий диск: не менее 24 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 10000 IOPS.

Высокопроизводительная инсталляция (до 20000 событий/сек*):

Среда установки: операционная система 64 bit RHEL/CentOS 7.4 и выше, РЕД ОС 7.2
Процессор: 32 ядра, 2.5 ГГц
Оперативная память: 256 ГБ
Жесткий диск: не менее 48 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.

Сервер аналитики

Базовая инсталляция (до 2500 событий/сек):

Среда установки: операционная система MS Windows Server 2016
Процессор: 8 ядер, 2.4 ГГц
Оперативная память: 256 ГБ
Жесткий диск: не менее 4 ТБ. Зависит от сроков хранения данных. Рекомендуется применять СХД
Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi

Расширенная инсталляция (до 10000 событий/сек):

Среда установки: операционная система MS Windows Server 2016
Процессор: 16 ядер, 2.4 ГГц
Оперативная память: 512 ГБ
Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения данных. Рекомендуется применять СХД
Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi

Высокопроизводительная инсталляция (более 20000 событий/сек*):

Среда установки: операционная система MS Windows Server 2016
Процессор: 24 ядра, 2.4 ГГц
Оперативная память: 1 ТБ
Жесткий диск: не менее 24 ТБ. Зависит от сроков хранения данных. Рекомендуется применять СХД
Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi

Автоматизированное рабочее место администраторов ПК Ankey SIEM.

операционная система MS Windows 7 Professional (x86/x64)
Процессор: не ниже Intel Core i3 (или аналогичный) с частотой 3.4 ГГц
Оперативная память: 4 ГБ
Жесткий диск: не менее 100 ГБ
Разрешение экрана и диагональ: рекомендуется разрешение не ниже 1920х1080, диагональ не менее 23”
Дополнительное ПО: Internet Explorer не ниже версии 8.0; Google Chrome не ниже версии 60.0; Яндекс.Браузер не ниже версии 17.10

*На ПК AK SIEM поддерживаются инсталляции свыше 20 000 EPS, которые реализуются архитектурными возможностями ПК.

При развертывании компонентов Ankey SIEM в виртуальной среде потребуется на 20 % больше вычислительных ресурсов по сравнению с требованиями к аппаратной реализации.

Материалы

Заказать