СёрчИнформ

СёрчИнформ SIEM

Компания «СёрчИнформ» – ведущий российский разработчик средств информационной безопасности. Входит в НП «Руссофт». Ее клиенты – более 3000 компаний по всей России и еще 20+ странах мира.

Команда разработчиков с 1995 года создавала технологии поиска по неструктурированным данным, в 2004 начала разработку решений по информационной безопасности. Сегодня в активе команды – продукты и услуги для комплексной защиты от внутренних угроз на всех уровнях корпоративных информационных систем:

  • «СёрчИнформ КИБ»система класса DLP, защищает от утечек информации, корпоративного мошенничества и других инцидентов, связанных с человеческим фактором. В 2017 году включена в «магический квадрант» лучших DLP-систем мира по версии Gartner.
  • «СёрчИнформ SIEM» – система сбора и анализа событий безопасности в режиме реального времени, выявления ИБ-инцидентов и реагирования на них.
  • «СёрчИнформ FileAuditor» – DCAP-решение (data-centric audit and protection), проводит автоматизированный аудит хранилищ информации, находит нарушения прав доступа и отслеживает изменения в критичных данных.
  • «СёрчИнформ ProfileCenter» – первая в мире программа для автоматизированного профилирования сотрудников, прогнозирует поведение и выявляет потенциальные криминальные тенденции в характере.
  • Аутсорсинг DLP – услуга по аутсорсингу работы с инструментами информационной безопасности. Вендор предоставляет ПО и аналитика, заказчик получает результат.

«СёрчИнформ КИБ» и «СёрчИнформ SIEM» сертифицированы ФСТЭК, внесены в Единый реестр российских программ для электронных вычислительных машин и баз данных. Компетенция компании подтверждена бессрочной лицензией ЦЛСЗ ФСБ России на разработку и производство средств защиты конфиденциальной информации, лицензиями ФСТЭК России на деятельность по технической защите конфиденциальной информации и деятельность по разработке и производству средств защиты конфиденциальной информации.

Телефон: +7 (495) 721 84 06
Email: info@searchinform.ru
Сайт: searchinform.ru

«СёрчИнформ SIEM» (Security Information and Event Management) – система для сбора и анализа событий безопасности из различных источников (ПО, компьютеров, оборудования и т.д.) в режиме реального времени, выявления уязвимостей и предотвращения попыток доступа к сети извне.

Система сертифицирована ФСТЭК и внесена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Ключевая особенность решения – простота настройки и использования, что позволяет работать в системе ИБ- и IT-специалистам с любым опытом и уровнем подготовки.

Как работает «СерчИнформ SIEM»

  1. Собирает события из различных программных и аппаратных источников, позволяет работать с логами в рамках единого интерфейса. Система выявляет: подбор паролей, изменение конфигураций и настроек, попытки нелегитимного доступа к сети или ее сегментам, взломы, DDoS- и другие кибератаки, вирусные заражения и эпидемии, сбои и ошибки в работе ПО, перегрев оборудования и т.д.
  2. Проводит анализ событий и формирует инциденты в соответствии с правилами, детектирует угрозы путем выявления взаимосвязи (корреляций, в т.ч. кросс-корреляций) событий и/или инцидентов. В системе предустановлено более 300 готовых правил корреляции, также можно создать любое количество новых.
  3. Автоматически извещает ответственных лиц об инцидентах. Система имеет 3 вида уведомлений: уведомления в консоли, email-оповещения и отправка алертов в Telegram.
  4. Нормализует и детализирует инциденты для дальнейшего расследования: определяет тип, источник инцидента, при интеграции с AD – пользователя, вероятно причастного к событию. В системе можно увидеть все проблемные хосты с большим количеством инцидентов и начать углубленное расследование, чтобы выяснить, кто из пользователей виновен или какое оборудование имеет неисправность.
  5. Позволяет управлять расследованиями и готовить отчетность. Во встроенном таск-менеджере можно объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии, подводить итоги и выгружать их в отчёт, а также экспортировать цепочку событий, приведших к инциденту, в правило кросс-корреляции. Система может передавать результаты расследований и аудитов безопасности в ГосСОПКА, а также в SOC-систему R-Vision.

Преимущества «СёрчИнформ SIEM»

  • Быстрое внедрение без долгой предварительной настройки. Предустановленные политики готовы к работе сразу после инсталляции, ПО может быть введено в эксплуатацию за один день.
  • Простота использования. Система интуитивно понятна благодаря чему для работы с установленной и настроенной системой не требуется привлекать высококвалифицированных и дорогостоящих специалистов.
  • Подходит малому и среднему бизнесу. Невысокие программно-аппаратные требования «СёрчИнформ SIEM» и приемлемая ценовая политика позволяет внедрять данное решение даже в предприятиях малого и среднего бизнеса.
  • «СёрчИнформ SIEM» можно интегрировать с DLP-системой «СёрчИнформ КИБ», что многократно повысит уровень ИБ компании. SIEM выявляет опасное поведение и способ получения доступа к информации. «СёрчИнформ КИБ» оценивает содержимое коммуникаций. Интеграция этих двух продуктов позволяет каждому из них работать на порядок эффективнее.

Обоснование

Бизнес-требования (необходимость защищать ИТ-инфраструктуру) и требования регуляторов (для субъектов КИИ – 187 ФЗ, для операторов персональных данных – 152 ФЗ и приказы ФСТЭК).

Зарубежные аналоги

AlienVault, FortiSIEM, ArcSight, IBM QRadar, SPLUNK, LogRhythm, McAfee Enterprise Security Manager, LogPoint – SIEM, Elastic (ELK) Stack, Exabeam Fusion, InsightIDR by Rapid7, Securonix Next-Gen SIEM, ManageEngine, Graylog, Sumo Logic Cloud SIEM.