RuSIEM

SIEM

RuSIEM - обеспечивает корреляцию в реальном времени, визуализацию и поиск данных, долгосрочное хранение сырых и нормализованных событий, встроенное управление инцидентами и отчеты.

 

Возможности RuSiem:

- Корреляция в режиме реального времени. Оперативное обнаружение угроз и аномалий. Гибкий и простой в использовании графический конструктор правил корреляции обеспечивает создание любых пользовательских правил без знания кода;
- Отслеживание аутентификации. Позволяет создавать пользовательские правила для любой системы и отслеживать параметры входа пользователя. Если пользователь вошел в систему с другого IP-адреса или браузера, создается инцидент. В дополнение к ip и useragent можно указать и любые другие критерии;
- Управление ИТ активами. ИТ-активы в аналитике RuSIEM автоматически заполняются из событий, потоков, данных сетевого трафика в реальном времени. Шаблон актива и его содержимое могут быть изменены пользователем;
- Управление инцидентами. Обеспечивает взаимодействие команд и персонала в оперативном решении проблем и инцидентов. Ограничение области видимости инцидентов позволяет сохранять конфиденциальность, ограничивать доступ к различным инцидентам. Внутри инцидента вы можете назначать задачи. Управление инцидентами строится в соответствии со стандартом ITIL;
- Долговременное хранение событий. Решение хранит как нормализованные, так и сырые RAW события в течение длительного интервала хранения. Гибкий поиск событий позволяет вам искать события на любом интервале хранения, выполнять как точное, так и регулярное выражение, частичный поиск. Группировка, подсчет количественных данных, вычисление усредненных значений, различные параметры визуализации удовлетворят любые потребности;
- Исходные данные и системы сбора и хранения. Позволяют идентифицировать аномалии и угрозы без необходимости создавать правила корреляции для каждого случая;
- Отчеты. Графический конструктор позволяет настраивать любой формат отчета, изменять расположение данных в отчете, логотип, шрифты, добавлять и размещать графические данные. Запуск отчетов по расписанию и отправка по электронной почте выбранным получателям позволяет оставаться всегда осведомленным о том, что происходит;
- Исходные данные и системы сбора и хранения. Позволяют идентифицировать аномалии и угрозы без необходимости создавать правила корреляции для каждого случая;
- Управление уязвимостями. Обеспечивает обнаружение уязвимостей и своевременное уведомление о них. Обнаружение уязвимости выполняется по сетевому трафику и по событиям. Интеграция со Snort обеспечивает доступность данных о открытых портах, используемых сервисах и операционных системах. 

Преимущества RuSIEM:

- Полная поддержка русского языка;
- Сохранение исходных RAW-событий;
- Приведенная к общему формату объектная норамлизация;
- Встроенная управляемая и редактируемая корреляция;
- Высокая производительность;
- Отсутствие ограничение по количеству событий и источникам;
- Легкая вертикальная масштабируемость;
- Отсутсвие ограничение на размер хранилища;
- Коннекторы от производителя;
- Историческая корреляция и в режиме реального времени;
- Наличие собственных модульных агентов;
- Разделение нагрузки на несколько серверов или виртуальных машин.