Российские SIEM системы

2024. В RuSIEM появилась возможность агрегации событий



Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.8.0. Функциональные доработки, вошедшие в состав нового релиза, призваны существенно улучшить производительность и удобство работы с системой. Остановимся на самых важных из них. Самой значимой и ожидаемой доработкой стал новый функционал агрегация событий, который позволяет уменьшить объем хранилища событий (ElasticSearch) за счет того, что система перестает хранить однотипные или неважные события. Кроме этого, добавлен новый функционал обогащение событий активами, который позволяет привязать события к активам и добавить информацию из актива в дополнительные поля событий.


2023. Компания UserGate представила собственные EDR и SIEM системы



Компания UserGate, которая, в основном, известна своими межсетевыми экранами (файерволами), расширила свой стек ПО для корпоративной безопасности системами класса EDR и SIEM. Первая - UserGate Client – решение, предназначенное для управления безопасным доступом в сеть пользовательских устройств корпоративных клиентов, объединившее в себе три функции для защиты удаленного доступа устройств: VPN, NAC и EDR (Endpoint Detection and Response). Вторая - UserGate SIEM Light – система управления событиями информационной безопасности (Security Information and Event Management), отвечающая за сбор информации из различных источников, позволяющая выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию. Обе системы являются уже немного устаревшими (по мировым стандартам), т.к. уже все постепенно переходят на XDR системы, менее сложные/дорогие, чем SIEM и более адаптированные к облачным реалиям, чем EDR. Но пока российским ИБ вендорам приходится закрывать дыры, а не думать о новых тенденциях.


2023. В России создали SIEM/DLP комплекс для ИБ профессионалов



В России создали первый в классе SIEM серверный программно-аппаратный комплекс (ПАК), предназначенный для защиты служебной информации и персональных данных. В основе ПАК лежит сервер и СХД Fplus. В качестве операционной системы - оптимизированная серверная ОС Astra Linux разработчика «Группа Астра». ПАК построен на базе SIEM-системы Kaspersky Unified Monitoring and Analysis Platform. Еще одна ступень кибербезопасности - DLP-система для предотвращения утечек конфиденциальной информации Solar Dozor ГК «Солар». Также входит платформа для построения динамической инфраструктуры Базис.DynamiX, ее безопасность обеспечивает Базис.Virtual Security, и корпоративная почтовая система - Mailion. Разработчики утверждают, что это первое отечественное решение, соответствующее требованиям средствам ГосСОПКА. Все компоненты устройства прошли сертификацию и соответствуют требованиям ФСТЭК России.

2018. Positive Technologies выпустила новую версию MaxPatrol SIEM

Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз. Концептуальной новинкой новой версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения.


2017. Завершена интеграция решений Solar Dozor и NeuroDAT SIEM

Solar Security и «Центр безопасности информации» завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor. В отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек. Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.


2017. InfoWatch и «Центр безопасности информации» интегрировали InfoWatch Traffic Monitor и NeuroDAT SIEM

InfoWatch и компания «Центр безопасности информации» («ЦБИ») заключили соглашение о технологическом сотрудничестве. В рамках партнерства была обеспечена возможность совместной работы решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы мониторинга информационной безопасности (СМИБ) NeuroDAT SIEM. Решение InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах, выявляет в потоке данных конфиденциальные документы и определяет факты нарушения политик безопасности организации, а также блокирует несанкционированные действия сотрудников. В результате интеграции решений данные, обработанные в DLP-системе InfoWatch Traffic Monitor, становятся доступными для анализа в системе NeuroDAT SIEM. В ходе интеграции был разработан коннектор, который обеспечивает передачу событий, зарегистрированных DLP-системой, в NeuroDAT SIEM по протоколу Syslog. События передаются в режиме времени, близком к реальному, что обеспечивает возможность мгновенной реакции сотрудников служб информационной безопасности на инциденты, связанные с внутренними угрозами.


2017. СЗИ Dallas Lock 8.0 подтвердила совместимость с MaxPatrol SIEM

Positive Technologies и «Конфидент» провели испытания, в результате которых подтверждена корректность совместной работы системы выявления инцидентов ИБ MaxPatrol SIEM c СЗИ Dallas Lock 8.0 редакций «К» и «С». Интеграция двух решений стала возможной благодаря доработке MaxPatrol SIEM по добавлению нового источника событий, в качестве которого используется база данных событий ИБ Dallas Lock 8.0. Функциональность стала доступна конечным заказчикам в новом релизе данного продукта. Теперь пользователи получили возможность реализовать с помощью MaxPatrol SIEM централизованный сбор и корреляцию событий информационной безопасности, генерируемых СЗИ Dallas Lock 8.0 и другими установленными в организации средствами защиты.


2017. СЗИ Dallas Lock 8.0 получила совместимость с системой управления событиями ИБ КОМРАД 2.0

«Конфидент» и НПО «Эшелон» объявили о подписании сертификата совместимости, подтверждающего корректность совместной работы СЗИ Dallas Lock 8.0 редакций «К» и «С» с системой управления событиями информационной безопасности КОМРАД 2.0. СЗИ Dallas Lock 8.0 – сертифицированная система защиты информации, предназначенная для защиты конфиденциальной информации (редакции «К» и «С») и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно (редакция «С»). Используется для защиты информации, содержащейся в ГИС всех классов защищенности, в АС до класса защищенности 1Б включительно, в АСУ ТП до 1 класса защищенности включительно, а также для обеспечения всех уровней защищенности ПДн. Dallas Lock 8.0 работает на автономных АРМ и в сложных сетевых инфраструктурах. Поддерживает работу в ОС семейства Windows (от Windows XP до Windows 10).


2017. «Эшелон» запустил первый в стране лицензированный центр мониторинга по информационной безопасности

Группа компаний «Эшелон» объявила о запуске центра мониторинга и управления информационной безопасностью ((Echelon Security Operation Center, ESOC). Решение первым в России получило соответствующую лицензию ФСТЭК России. Продукт базируется на технических решениях НПО «Эшелон» и накопленном опыте реализации комплексных проектов по информационной безопасности. В основе технической платформы лежат такие ИТ-решения, как SIEM-система «Комрад», система комплексного анализа защищенности «Сканер-ВС», средство анализа безопасности исходного кода AppChecker. Основными услугами ESOC являются непрерывный мониторинг событий информационной безопасности, собираемых с различных объектов ИТ-инфраструктуры заказчиков, контроль защищенности в виде периодических тестов на проникновение, расследование инцидентов и оперативное противодействие компьютерным атакам, а также аудит безопасности кода.


2017. «Смарт Лайн» и RuSIEM представили совместное решение для защиты корпоративных данных

«Смарт Лайн» и RuSIEM объявили о реализации технологической интеграции собственных решений для повышения эффективности в решении задач предотвращения утечек корпоративной информации и анализа инцидентов. В результате интеграции решений двух российских разработчиков DLP-комплекс DeviceLock DLP выступает для системы управления событиями информационной безопасности RuSIEM в качестве источника событий информационной безопасности, связанных с доступом пользователя к периферийным устройствам, съемным накопителям, принтерам, каналам сетевых коммуникаций. DeviceLock DLP позволяет направлять в SIEM-системы оперативную информацию (тревожные оповещения) в реальном времени по протоколам SNMP и SYSLOG, а также дублировать записи журналов событийного протоколирования. Такие тревожные оповещения могут создаваться и направляться в SIEM-системы в результате как разрешенных, так и запрещенных попыток передачи данных по различным каналам сетевых коммуникаций, записи информации на съемные накопители, печати документов на локальные и сетевые принтеры, передачу данных в терминальных сессиях через буфер обмена и т.д.


2017. InfoWatch и RuSIEM объединили технологии для защиты корпоративного периметра организаций

InfoWatch и RuSIEM объявили о завершении интеграции решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы управления событиями информационной безопасности RuSIEM. В результате интеграции технологий двух российских разработчиков, InfoWatch Traffic Monitor Enterprise автоматически подключается к системе RuSIEM в качестве источника событий информационной безопасности. Данные, поступающие из DLP-системы InfoWatch, одновременно становятся доступны для обработки и анализа в системе управления событиями информационной безопасности RuSIEM. Офицер безопасности, использующий в своей работе SIEM-систему RuSIEM в связке c DLP-решением InfoWatch, может контролировать передачу конфиденциальных данных организации и действия привилегированных пользователей в режиме реального времени, отслеживать корреляции между разными типами событий и предотвращать несанкционированные действия сотрудников.


2011. «Инфосистемы Джет» интегрировали комплекс защиты от утечек данных «Дозор-Джет» с системой мониторинга событий ИБ ArcSight

Компания «Инфосистемы Джет» разработала специальный коннектор для интеграции системы класса SIEM (Security Information and Event Management) ArcSight и комплекса защиты от утечек информации «Дозор-Джет». С его помощью информация, полученная системой мониторинга событий ИБ ArcSight из DLP-системы «Дозор-Джет», будет оперативно поступать офицерам информационной безопасности. Это позволит компаниям минимизировать финансовые и репутационные риски, точно и оперативно выявляя события и инциденты, связанные с утечками информации, говорится в сообщении компании «Инфосистемы Джет». Разработка коннектора проходила в несколько этапов. Сначала специалисты «Инфосистем Джет» выделили основные типы событий, для которых необходим централизованный сбор с помощью решений ArcSight. В качестве транспорта был выбран протокол syslog как наиболее удобный в реализации: используется стандартный syslog-коннектор, что позволяет обходиться без покупки дополнительных лицензий на систему мониторинга, пояснили в «Инфосистемах Джет».