Система сбора, корреляции
и анализа событий ИБ
О решении

Обеспечение безопасности больших организаций сложная задача, которая требует особого внимания. Различная зрелось подразделений ИБ в филиалах и дочерних предприятий организации увеличивает взаимное влияние на общий уровень безопасности, позволяя злоумышленнику проводить атаки через «слабое звено». Решением проблемы накопления и оперативной обработки данных о событиях безопасности являются системы класса Security Incident Event Management (SIEM-система).

SIEM-система позволяет осуществлять мониторинг информационных систем, анализировать события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений и помогает обнаружить инциденты ИБ.

Правильно выстроенная SIEM-система становится ядром корпоративного SOC-центра и одним их основных поставщиков данных при подключении к ГосСОПКА.


SIEM-система применяется для решения следующих задач:
  • Консолидация данных, сбор событий ИБ из различных источников;

  • Хранение событий безопасности из различных источников в историческом порядке для ретроспективного анализа и определения цепочек действий, ставших причиной возникновения инцидентов безопасности;

  • Предоставление инструментов для экспертного анализа событий и разбора инцидентов безопасности с возможностью поиска по множеству параметров и построению моделей связи событий между собой;

  • Автоматическое оповещение администратора безопасности через интерфейс SIEM посредством интеграции с системой учета заявок, а также по электронной почте, через SMS и т. д.

Компания имеет большой опыт построения SIEM-систем как зарубежных разработчиков, таких как Micro Focus ArcSight, IBM QRadar SIEM, так и Российских разработчиков – Positive Technologies MaxPatrol SIEM.

Специалисты обладают всеми необходимыми компетенциями и навыками работы с решениями Positive Technologies.

Результаты и преимущества

Основными результатами и преимуществами являются:
  • Приоритизация инцидентов ИБ в соответствии с важностью актива, и как следствие, реагирование только на действительно важные инциденты;

  • Контроль изменений конфигурации информационных ресурсов;

  • Оперативный контроль защищенности информационных ресурсов;

  • Оперативное реагирование и управление инцидентами ИБ;

  • Контроль за действиями пользователей и администраторов информационных систем.