SIEM - системы централизованного управления событиями информационной безопасности

Обновлено: 21.11.2023

2023. Компания UserGate представила собственные EDR и SIEM системы



Компания UserGate, которая, в основном, известна своими межсетевыми экранами (файерволами), расширила свой стек ПО для корпоративной безопасности системами класса EDR и SIEM. Первая - UserGate Client – решение, предназначенное для управления безопасным доступом в сеть пользовательских устройств корпоративных клиентов, объединившее в себе три функции для защиты удаленного доступа устройств: VPN, NAC и EDR (Endpoint Detection and Response). Вторая - UserGate SIEM Light – система управления событиями информационной безопасности (Security Information and Event Management), отвечающая за сбор информации из различных источников, позволяющая выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию. Обе системы являются уже немного устаревшими (по мировым стандартам), т.к. уже все постепенно переходят на XDR системы, менее сложные/дорогие, чем SIEM и более адаптированные к облачным реалиям, чем EDR. Но пока российским ИБ вендорам приходится закрывать дыры, а не думать о новых тенденциях.


2023. В России создали SIEM/DLP комплекс для ИБ профессионалов



В России создали первый в классе SIEM серверный программно-аппаратный комплекс (ПАК), предназначенный для защиты служебной информации и персональных данных. В основе ПАК лежит сервер и СХД Fplus. В качестве операционной системы - оптимизированная серверная ОС Astra Linux разработчика «Группа Астра». ПАК построен на базе SIEM-системы Kaspersky Unified Monitoring and Analysis Platform. Еще одна ступень кибербезопасности - DLP-система для предотвращения утечек конфиденциальной информации Solar Dozor ГК «Солар». Также входит платформа для построения динамической инфраструктуры Базис.DynamiX, ее безопасность обеспечивает Базис.Virtual Security, и корпоративная почтовая система - Mailion. Разработчики утверждают, что это первое отечественное решение, соответствующее требованиям средствам ГосСОПКА. Все компоненты устройства прошли сертификацию и соответствуют требованиям ФСТЭК России.


2021. McAfee продает свой корпоративный бизнес



Корпорация McAfee объявила о продаже своего подразделения корпоративной информационной защиты венчурной фирме Symphony Technology Group. Ещё в начале 2021 года компания выпускала новые продукты, ориентированные на корпоративный сектор, в частности, инструменты расширенного обнаружения и реагирования на киберинциденты (XDR) для локальных и облачных ресурсов. В 2020 году McAfee также представила облачную систему SIEM (систему управления событиями в сетевых ресурсах), также ориентированную на корпоративных сектор. Однако, бренд McAfee намного сильнее в потребительском секторе, нежели в корпоративным. За 2020 год потребительский бизнес McAfee принёс 1,6 млрд. долларов и вырос на 20% по сравнению с 2019 годом; рост корпоративного бизнеса составил всего 1%.


2018. Positive Technologies выпустила новую версию MaxPatrol SIEM

Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз. Концептуальной новинкой новой версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения.


2017. Завершена интеграция решений Solar Dozor и NeuroDAT SIEM

Solar Security и «Центр безопасности информации» завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor. В отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек. Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.


2017. InfoWatch и «Центр безопасности информации» интегрировали InfoWatch Traffic Monitor и NeuroDAT SIEM

InfoWatch и компания «Центр безопасности информации» («ЦБИ») заключили соглашение о технологическом сотрудничестве. В рамках партнерства была обеспечена возможность совместной работы решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы мониторинга информационной безопасности (СМИБ) NeuroDAT SIEM. Решение InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах, выявляет в потоке данных конфиденциальные документы и определяет факты нарушения политик безопасности организации, а также блокирует несанкционированные действия сотрудников. В результате интеграции решений данные, обработанные в DLP-системе InfoWatch Traffic Monitor, становятся доступными для анализа в системе NeuroDAT SIEM. В ходе интеграции был разработан коннектор, который обеспечивает передачу событий, зарегистрированных DLP-системой, в NeuroDAT SIEM по протоколу Syslog. События передаются в режиме времени, близком к реальному, что обеспечивает возможность мгновенной реакции сотрудников служб информационной безопасности на инциденты, связанные с внутренними угрозами.


2017. СЗИ Dallas Lock 8.0 подтвердила совместимость с MaxPatrol SIEM

Positive Technologies и «Конфидент» провели испытания, в результате которых подтверждена корректность совместной работы системы выявления инцидентов ИБ MaxPatrol SIEM c СЗИ Dallas Lock 8.0 редакций «К» и «С». Интеграция двух решений стала возможной благодаря доработке MaxPatrol SIEM по добавлению нового источника событий, в качестве которого используется база данных событий ИБ Dallas Lock 8.0. Функциональность стала доступна конечным заказчикам в новом релизе данного продукта. Теперь пользователи получили возможность реализовать с помощью MaxPatrol SIEM централизованный сбор и корреляцию событий информационной безопасности, генерируемых СЗИ Dallas Lock 8.0 и другими установленными в организации средствами защиты.


2017. СЗИ Dallas Lock 8.0 получила совместимость с системой управления событиями ИБ КОМРАД 2.0

«Конфидент» и НПО «Эшелон» объявили о подписании сертификата совместимости, подтверждающего корректность совместной работы СЗИ Dallas Lock 8.0 редакций «К» и «С» с системой управления событиями информационной безопасности КОМРАД 2.0. СЗИ Dallas Lock 8.0 – сертифицированная система защиты информации, предназначенная для защиты конфиденциальной информации (редакции «К» и «С») и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно (редакция «С»). Используется для защиты информации, содержащейся в ГИС всех классов защищенности, в АС до класса защищенности 1Б включительно, в АСУ ТП до 1 класса защищенности включительно, а также для обеспечения всех уровней защищенности ПДн. Dallas Lock 8.0 работает на автономных АРМ и в сложных сетевых инфраструктурах. Поддерживает работу в ОС семейства Windows (от Windows XP до Windows 10).


2017. «Эшелон» запустил первый в стране лицензированный центр мониторинга по информационной безопасности

Группа компаний «Эшелон» объявила о запуске центра мониторинга и управления информационной безопасностью ((Echelon Security Operation Center, ESOC). Решение первым в России получило соответствующую лицензию ФСТЭК России. Продукт базируется на технических решениях НПО «Эшелон» и накопленном опыте реализации комплексных проектов по информационной безопасности. В основе технической платформы лежат такие ИТ-решения, как SIEM-система «Комрад», система комплексного анализа защищенности «Сканер-ВС», средство анализа безопасности исходного кода AppChecker. Основными услугами ESOC являются непрерывный мониторинг событий информационной безопасности, собираемых с различных объектов ИТ-инфраструктуры заказчиков, контроль защищенности в виде периодических тестов на проникновение, расследование инцидентов и оперативное противодействие компьютерным атакам, а также аудит безопасности кода.


2017. «Смарт Лайн» и RuSIEM представили совместное решение для защиты корпоративных данных

«Смарт Лайн» и RuSIEM объявили о реализации технологической интеграции собственных решений для повышения эффективности в решении задач предотвращения утечек корпоративной информации и анализа инцидентов. В результате интеграции решений двух российских разработчиков DLP-комплекс DeviceLock DLP выступает для системы управления событиями информационной безопасности RuSIEM в качестве источника событий информационной безопасности, связанных с доступом пользователя к периферийным устройствам, съемным накопителям, принтерам, каналам сетевых коммуникаций. DeviceLock DLP позволяет направлять в SIEM-системы оперативную информацию (тревожные оповещения) в реальном времени по протоколам SNMP и SYSLOG, а также дублировать записи журналов событийного протоколирования. Такие тревожные оповещения могут создаваться и направляться в SIEM-системы в результате как разрешенных, так и запрещенных попыток передачи данных по различным каналам сетевых коммуникаций, записи информации на съемные накопители, печати документов на локальные и сетевые принтеры, передачу данных в терминальных сессиях через буфер обмена и т.д.


2017. InfoWatch и RuSIEM объединили технологии для защиты корпоративного периметра организаций

InfoWatch и RuSIEM объявили о завершении интеграции решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы управления событиями информационной безопасности RuSIEM. В результате интеграции технологий двух российских разработчиков, InfoWatch Traffic Monitor Enterprise автоматически подключается к системе RuSIEM в качестве источника событий информационной безопасности. Данные, поступающие из DLP-системы InfoWatch, одновременно становятся доступны для обработки и анализа в системе управления событиями информационной безопасности RuSIEM. Офицер безопасности, использующий в своей работе SIEM-систему RuSIEM в связке c DLP-решением InfoWatch, может контролировать передачу конфиденциальных данных организации и действия привилегированных пользователей в режиме реального времени, отслеживать корреляции между разными типами событий и предотвращать несанкционированные действия сотрудников.


2013. SIEM-решение от McAfee оптимизирует процесс реагирования на инциденты

Компания McAfee представила решение для управления информацией о безопасности и событиями безопасности (SIEM, Security Information and Event Management), способное в режиме реального времени собирать информацию о состоянии систем с целью повышения уровня ситуационной осведомленности и оптимизации процесса реагирования на инциденты. SIEM объединяет в себе McAfee Enterprise Security Manager (ESM), способный обрабатывать большие объемы данных, и McAfee Real Time, способный собирать подробную информацию о конечных точках. Функция управления данными о событиях дополнена возможностью быстро и в упреждающем режиме находить, собирать и анализировать широкий диапазон контекстной информации о конечных точках (запущенные процессы, файлы, конфигурация системы и средств защиты).