Разработчики: | Центр безопасности информации (ЦБИ) |
Отрасли: | Информационная безопасность |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
NeuroDAT SIEM — система мониторинга информационной безопасности, позволяющая собирать из различных источников, накапливать и анализировать информацию о событиях ИБ. Система автоматизирует процессы реагирования на инциденты, а также обеспечивает взаимодействие администраторов с сотрудниками, ответственными за устранение нарушений.
Особенности
- Масштабирование — возможность любого масштабирования и организации иерархии системы, наличие единого центра управления;
- Автономность решения — технология работы не предусматривает выдачу информации во внешние системы разработчиков средств;
- Отчуждаемость решения — реализован полный отчуждаемый инструментарий;
- Возможность использования нестандартных источников событий информации — подключение нестандартных источников событий через механизм разработки специализированного коннектора;
- Управление инцидентами — встроенная полнофункциональная подсистема регистрации и отработки инцидентов. Автоматизирован регламент расследования инцидентов;
- Контроль работоспособности внешних систем — поставщиков событий;
- Импортозамещение — NeuroDAT SIEM обеспечивает существенную независимость от импортных технологий и колебания курсов мировых валют, возможность доработки и адаптации ПО в любое время в соответствии с потребностями потенциального заказчика.
- Интуитивный русскоязычный интерфейс.
Возможности
- расследование инцидентов по конкретным пользователям и хостам;
- мониторинг действий пользователей в масштабе времени, близком к реальному;
- фильтрация событий от различных источников на входе в систему (избавление от массового «мусора»);
- техническая поддержка системы с возможностью ускоренной разработки дополнительной функциональности;
- развитый механизм управления отработкой инцидентов;
- широкий спектр различных метрик и показателей эффективности процессов отработки инцидентов;
- предустановленные правила корреляции событий (сопоставления);
- сбор и централизованная обработка информации;
- интеграция и хранение в нормализованном виде в едином хранилище данных;
- автоматизированное формирование различных типов инцидентов ИБ на основе анализа и корреляции (сопоставления) событий, поступающих от различных источников;
- сбор всех событий о запущенных процессах с АРМ и серверов;
- проведение инвентаризации сети;
- обеспечение механизмов контроля работоспособности систем — поставщиков информации для NeuroDAT SIEM;
- визуализация компьютерных атак на масштабируемой геоинформационной основе;
- проведение периодического анализа защищенности сети;
- оценка выполнения требований безопасности (compliance);
- встроенные механизмы автоматизации выполнения регламентов реагирования на различные типы инцидентов.
2018
Интеграция с invGUARD
Компании «Иновентика технолоджес» (группа Inoventica) и «Центр безопасности информации» (ЦБИ) в марте 2018 года завершили интеграцию системы защиты от сетевых атак invGUARD и системы мониторинга информационной безопасности NeuroDAT SIEM. Подробнее здесь.
2017
Интеграция с Solar Dozor
Компании Solar Security и Центр безопасности информации в начале ноября 2017 года завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor. Подробнее здесь.
Интеграция с InfoWatch Traffic Monitor
Группа компаний InfoWatch и компания «Центр безопасности информации» (ЦБИ) в начале сентября 2017 года заключили соглашение о технологическом сотрудничестве. В рамках партнерства была обеспечена возможность совместной работы решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы мониторинга информационной безопасности (СМИБ) NeuroDAT SIEM.
InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах, выявляет в потоке данных конфиденциальные документы и определяет факты нарушения политик безопасности организации, а также блокирует несанкционированные действия сотрудников. В результате интеграции решений данные, обработанные в DLP-системе InfoWatch Traffic Monitor, становятся доступными для анализа в системе NeuroDAT SIEM.
В ходе интеграции был разработан коннектор, который обеспечивает передачу событий, зарегистрированных DLP-системой, в NeuroDAT SIEM по протоколу Syslog. События передаются в режиме времени, близком к реальному, что обеспечивает возможность мгновенной реакции сотрудников служб информационной безопасности на инциденты, связанные с внутренними угрозами.
В NeuroDAT SIEM все события автоматически категорируются и отображаются в единой консоли, что облегчает повседневную работу администраторов системы.
Помимо информации из DLP-системы, в рамках совместного решения в SIEM-консоли также отображаются данные средств антивирусной защиты, системы обнаружения вторжений в компьютерную инфраструктуру организации (IDS), маршрутизаторов, межсетевых экранов, серверов и автоматизированных рабочих мест пользователей. Широкий горизонт охвата инцидентов позволяет службе информационной безопасности организации, использующей SIEM-систему, не только оперативно выявлять распределенные атаки, коррелируя информацию из DLP-решения с другими средствами защиты, но и блокировать целевые атаки, направленные на хищение конфиденциальной информации, подчеркнули в InfoWatch.
Интеграция с АПКШ «Континент»
Компания «Код Безопасности» 28 августа 2017 года объявила об интеграции детектора атак «Континент» и системы мониторинга информационной безопасности NeuroDAT SIEM, разработанной компанией «Центр безопасности информации». Комплексное решение позволяет сотрудникам службы безопасности своевременно обнаруживать потенциальные угрозы за счет консолидации всех событий ИБ в едином хранилище.
Тестирование на совместимость АПКШ «Континент» и NeuroDAT SIEM проводилось на выделенном сегменте корпоративной сети организации, имеющем подключение к интернету. В ходе интеграции специалисты ЦБИ разработали коннектор для приема данных о событиях безопасности по протоколу Syslog и правила регистрации инцидентов на основе событий, зарегистрированных АПКШ «Континент». В целом использование совместного решения предоставляет широкие возможности по тонкой настройке правил для регистрации инцидентов на основании данных, полученных от АПКШ «Континент» и от сторонних поддерживаемых NeuroDAT SIEM средств защиты информации. Подробнее об этом можно прочитать здесь.
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (141)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (278, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Уральский центр систем безопасности (УЦСБ) (1, 2)
SearchInform (СёрчИнформ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (1, 1)
Спейсбит (Spacebit) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Перспективный мониторинг (1, 3)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
MaxPatrol SIEM - 33 (33, 0)
СёрчИнформ SIEM - 17 (17, 0)
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
Другие 21
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 5 (0, 5)
R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Ngenix Облачная платформа - 2 (2, 0)
Jet CyberCamp - 1 (1, 0)
Другие 5
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
CyberART Сервисная служба киберзащиты - 4 (4, 0)
Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
MaxPatrol SIEM - 2 (2, 0)
СёрчИнформ SIEM - 2 (2, 0)
Другие -7
СёрчИнформ SIEM - 3 (3, 0)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
Kaspersky Anti Targeted Attack Platform (KATA) - 1 (1, 0)
МТС RED SOC - 1 (1, 0)
Другие 7
СёрчИнформ SIEM - 9 (9, 0)
Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
RuSIEM Система сбора информации и событий от ИТ-систем - 2 (2, 0)
Kaspersky Endpoint Detection and Response (KEDR) - 2 (2, 0)
Другие 10