Заказать звонок 8 (818) 260-31-11
  1. Главная
  2. Информационная безопасность
  3. Системы управления событиями безопасности
  4. RuSIEM

RuSIEM

RuSIEM

RuSIEM – российская SIEM‑система, разработанная для анализа и корреляции событий информационной безопасности и IT-инфраструктуры в режиме реального времени. Объединяет продвинутую аналитику, визуализацию, автоматическое реагирование и гибкое управление инцидентами.

Возможности RuSIEM:

1. Корреляция событий

  • Правила корреляции позволяют выявлять инциденты информационной безопасности. В системе RuSIEM реализован простой и интуитивно понятный конструктор, который позволяет составлять собственные правила без навыков программирования. Правила корреляции могут быть разной сложности: сложносоставные (в рамках одного правила, рассматривается две цепочки событий), построение каскада правил (использование нескольких разных правил в рамках одного сценария выявления), использование списков и таблиц.

2. Гибкая визуализация данных

  • Можно строить разные типы виджетов: круговые диаграммы, линейные графики, виджет «Карта» и многое другое. Вы никак не ограниченны в количестве панелей мониторинга (дашбордов) и виджетов. Для построения отчетов используется конструктор, который позволяет детально настроить, в каком виде и что нужно внести в отчет. Отчеты можно отправлять автоматически по расписанию на почту. Формирование отчетов поддерживается в форматах: PDF, CSV DOCX, XSLX.

3. Встроенный инцидент-менеджмент

  • Работа с карточками инцидента и возможность персонализации (добавление нужных полей в карточку). Возможность выгрузки инцидентов в JSON. В рамках каждого инцидента можно ставить задачи на пользователей, смотреть комментарии и историю изменений.

4. Глубокий полнотекстовый поиск

  • События можно искать не только по паре ключ:«значение», но и по части текста, которое содержит это событие. Это позволяет искать целевые события, когда нет информации, в какой поле записалось нужное значение.

5. Подключение любых источников

  • Если вдруг вы не нашли ваш источник среди поддерживаемых (https://rusiem.com/ru/products/parsers), вы можете подключить его к нашей системе и посмотреть события в unparsed. После чего можно будет написать парсер для него самостоятельно или обратиться к производителю за помощью.

6. Надёжное и масштабируемое хранение

  • Возможность построения кластера Elasticsearch для гибкой настройки хранения событий: горячее, теплое, холодное. Возможность архивного хранения событий: json extract, elastic snapshot. Для этого можно использовать любую сетевую папку или полноценное СХД.

7. Масштабируемая архитектура

  • В любой момент к системе можно достроить ноды с БД и микросервисами. Возможность реализации отказоустойчивой архитектуры. Существуют разные типы установок: All-in-one (все в одном), RuSIEM с вынесенной БД (Elasticsearch), распределенная инсталляция (микросервисы распределяются по разным нодам). Работой каждого микросервиса можно управлять с помощью настраиваемой конфигурации, что позволяет эффективно настроить систему под высокие нагрузки.

8. Аналитика и автоматизация на базе ML

  • Используйте встроенные правила для детектирования аномалий и создавайте свои. Правила позволяют выявлять отклонения в вашей инфраструктуре. Подсистема BASELINE предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и выявление аномалий в инфраструктуре на их основе. Модуль поведенческого анализа основан на машинном обучении и позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.
Получить консультацию