Обзор Security Capsule SIEM 3.3.2.11, российской системы мониторинга и корреляции событий ИБ
Система мониторинга и корреляции Security Capsule SIEM выявляет инциденты и минимизирует риски реализации недопустимых событий. SC SIEM сертифицирована ФСТЭК России (сертификат № 4735), а также зарегистрирована в едином реестре российских программ.
Security Capsule SIEM (SC SIEM) — это система мониторинга и корреляции событий, упрощающая выявление инцидентов ИБ и ускоряющая процессы их обработки. Благодаря интеграции с русскоязычной нейросетью GigaChat от «Сбера» повышается эффективность и скорость обнаружения атак. С применением SC SIEM нет необходимости подключаться к каждому средству защиты с целью отслеживания защищённости объекта информатизации. SC SIEM отображает все данные в едином консолидированном виде в удобном адаптированном интерфейсе.
SC SIEM не имеет ограничений по масштабированию и количеству обрабатываемых событий. Совместима с отечественными операционными системами и средствами защиты информации, а также с ГосСОПКА. Легко адаптируется к инфраструктуре и к потребностям организации.
SC SIEM используется для обнаружения инцидентов на объектах информатизации:
- Государственных информационных систем (ГИС) 2-го класса.
- Информационных систем персональных данных (ИСПДн) 2-го уровня.
- Значимых объектов критической информационной инфраструктуры (ЗО КИИ) 2-й категории.
- Автоматизированных систем управления технологическими процессами (АСУ ТП) 2-го класса.
- Систем обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
SC SIEM предназначена для лиц ответственных за обеспечение информационной безопасности на объектах информатизации. Она позволяет реализовать систему мониторинга и корреляции событий ИБ на любом объекте информатизации, независимо от масштаба.
Функциональные возможности Security Capsule SIEM
Функциональные возможности SC SIEM соответствуют требованиям регуляторов (ФСТЭК и ФСБ России) по реализации системы защиты информации и запросам заказчиков.
SC SIEM успешно решает следующие задачи:
- Импортозамещение зарубежных систем выявления инцидентов и попыток нарушения киберустойчивости компании.
- Сбор событий от источников в инфраструктуре в настоящем времени.
- Реализация единой точки анализа событий в гетерогенной инфраструктуре.
- Выявляет инциденты как в режиме реального времени, так и в ретроспективе.
- Возможность применения как в малых ИТ-инфраструктурах, так и в территориально распределённых информационных системах благодаря модульной архитектуре.
- Уведомляет НКЦКИ о выявленных инцидентах на объекте информатизации.
- Уведомляет ответственных лиц об обнаруженных инцидентах.
- Отслеживает изменения в Active Directory и Group Policy.
- Хранит сведения о событиях и инцидентах без ограничений по времени.
- Расширенный аудит событий в ОС Windows и Unix-подобных ОС в части контроля активности сетевых соединений, процессов, операций с файлами и реестрами, а также других процессов.
- Реализация отказоустойчивого кластера.
- Восстанавливает работоспособность в полном объёме после сбоев и отказов программных и программно-аппаратных частей.
- Режим мультиарендности (multitenancy) даёт возможность изолированно предоставлять услуги по мониторингу ИБ для пользователей из разных организаций.
- Контролирует действия пользователей SC SIEM.
- Позволяет организовать ролевую модель доступа пользователей к SC SIEM.
- Сопоставляет события и инциденты по матрице MITRE ATT&CK.
- Обогащает инциденты информацией об угрозах из системы F.A.C.C.T. Threat Intelligence.
SC SIEM совместима со следующими отечественными операционными системами: Astra Linux Special Edition, РЕД ОС, EMIAS OS 1.0, ROSA Enterprise Linux Server, Операционная система «Альт 8 СП». Также развёртывание модулей SC SIEM возможно на Unix-подобных операционных системах с открытым кодом.
Состав мер защиты информации в Security Capsule SIEM В SC SIEM разработчики реализовали меры по обеспечению безопасности:
- Для категорий значимости в соответствии с приказом ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Для классов защищённости информационных систем согласно приказу ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Для уровней защищённости персональных данных согласно приказу ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Таким образом, состав мер обеспечивает комплексную защиту информационной среды организаций.
Подробный обзор интерфейса и сценарии использования Security Capsule SIEM доступны по ссылке.
По всем возникающим вопросам можете обращаться: InformSecurity@mont.ru.