Мониторинг событий ИБ

Для построения информационной системы современного предприятия применяется большое количество разнородных программных и аппаратных компонентов. В этих условиях крайне сложно организовать оперативное обнаружение уязвимостей и атак, а также своевременно предпринять действия по их ликвидации.  

Зачастую, ИТ-персонал компаний вынужден отслеживать и анализировать параметры функционирования огромного количества элементов ИТ-инфраструктуры. Как правило,  для этого требуется оперативно (в режиме реального времени) обрабатывать большие объемы разнородной и не всегда структурированной  информации из различных источников: просматривать лог файлы систем и приложений, журналы аудита, реагировать на SNMP-трапы сетевого оборудования и т.д. 

При недостаточном уровне автоматизации обнаружение и предотвращение атак не только требует вовлечения большого количества квалифицированных специалистов, но и является малоэффективным: многие атаки обнаруживаются либо постфактум после нанесения ущерба, либо вовсе остаются незамеченными. 

Для преодоления указанных сложностей и общего повышения эффективности организации процессов управления ИБ предприятия компания CSM предлагает решение для автоматизации мониторинга событий ИБ на базе программного продукта IBM Security QRadar SIEM.

Возможности и особенности продукта

К основным функциональным возможностям IBM QRadar SIEM относятся:

  • сбор и обработка данных информационной безопасности от широкого спектра систем и устройств, таких как:
    • Специализированные системы ИБ: межсетевые экраны, VPN-решения, антивирусы, системы  IDS/IPS, и т.д.;
    • Сетевые устройства: коммутаторы, маршрутизаторы, точки доступа Wi-fi;
    • Сканеры уязвимостей;
    • Системы класса IAM (Identity and Access Management);
    • Журналы корпоративных приложений - ERP, CRM, документооборот и т.д;
    • Журналы ОС, СУБД и серверов приложений;
  • консолидация, нормализация, корреляция и безопасное хранение информации о событиях ИБ;
  • распознавание в режиме реального времени уязвимостей, атак, сетевых аномалий и нарушения корпоративных политик ИБ;
  • оповещение ответственного персонала о выявленных инцидентах с возможностью  автоматического запуска сценариев для  блокирования обнаруженных атак;
  • автоматизация отчетности и проведения расследований инцидентов ИБ. 

Q-radar.gif

IBM QRadar SIEM имеет ряд ключевых особенностей, которые позволяют успешно применять продукт для создания систем управления событиями ИБ любого масштаба и сложности. 

В аналитических обзорах Gartner Magic Quadrant for SIEM  последних лет IBM QRadar SIEM неизменно занимает достойное место в лидерском сегменте. Одной из важных отличительных особенностей продукта является наглядное и унифицированное представление событийной информации.