+7 (495) 748 81 05
Написать сообщение Напишите нам вопрос или обращение.
Демонстрация Наши специалисты быстро свяжутся с Вами.
Контакты
/ EtherSensor и SIEM

EtherSensor и SIEM

SIEM (Security information and event management, управление событиями безопасности) - система, получающая информацию о событиях из множества журналов и других источников для последующей корреляции получаемых данных и отслеживания инцидентов информационной безопасности.

SIEM и журналы

SIEM-системы получают журналы из множества источников, таких как межсетевые экраны, коммутаторы, прокси-серверы, датчики систем безопасности, базы данных и приложения. В большинстве случаев журналы содержат данные об атомарных исходных событиях, по которым пользователю сложно определить многие важные сетевые события и оценить уровень их критичности.

EtherSensor предоставляет в SIEM информацию, включая:

  • Подробную сетевую статистику, включающую в себя информацию о сетевых соединениях, их объемах, сетевых протоколах и протоколах приложений;
  • Статистику по URL-запросам в формате SQUID-ACCESS.log;
  • Метаданные событий, такие как отправитель и получатели, категория события, наличие файлов и их характеристики;
  • Передаваемые данные, такие как сообщения, файлы, сетевые события, поисковые запросы, данные об аутентификации и многое другое.

Таким образом, SIEM становится:

  • Удобным средством просмотра сетевых событий и их содержимого;
  • Хранилищем доказательной базы с возможностью привязки передаваемого контента к факту события;
  • Средством выявления аномалий как по косвенным признакам описания события, так и по передаваемому контенту;
  • Средством персонификации сетевого трафика, в случае подключения к Active Directory.

Например: EtherSensor перехватит отправленное через Gmail с использованием анонимайзера почтовое сообщение, а также 4 неудачных попытки входа в этот Gmail-аккаунт. В итоге SIEM-система получит события о попытках входа в Gmail-аккаунт с указанием на конкретный хост, а также событие инцидента об отправке клиентской базы с адресатами, темой и текстом сообщения, а также ссылкой на передаваемый файл.

Преимущества платформы EtherSensor

  1. Без агентов на рабочих станциях
  2. Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
  3. Много источников данных, много потребителей данных – один EtherSensor
  4. Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
  5. Гибкая модульная система лицензирования
  6. Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы
Демонстрация продуктов  Задать вопрос