Събиране, съхраняване, анализ и управление на събития 

ИТ инфраструктурата на организацията Ви генерира огромен поток от информационни събития. Съвкупността от събития съдържа много и изчерпателна информация, която може да се използва за анализ работата на системите и на слабите места в сигурността на ИТ инфраструктурата. Може да се провери по какъв начин и от кого е извършен достъп до информация с високо ниво на сигурност и дали са спазени установените правила за това.


Предизвикателства

  • Корпоративните ИТ системи генерират неимоверно количество събития. Стандартите изискват архивиране за срок от поне 1 година (PCI), до 7 години (Basel II), ...
  • С какви средства филтрирате и записвате само необходимите/задължителни събития?
  • Как проследявате неправомерните действия и извършвате наблюдение върху действията на потребителите?
  • Какви средства за търсене и анализ използвате? С каква производителност и ефективност?
  • Колко и какви „готови" отчети се предлагат. Възможно ли е персонализиране за конкретните ви специфични нужди?
  • Kолко е сигурен механизма на събиране, трансфер и архивиране, който използвате? Можете ли да представите доказателства, че информацията е автентична и не е била обект на допълнително човешко въздействие?

Решението

Подходящо за анализи и вземане на решения "при необходимост":

  • В съответствие със стандарти и наредби
  • Осигурява събиране, съхраняване, анализиране и управление на събитията
  • Има изчерпателно развити възможности за анализи и отчети, включително възможности за персонализация според конкретни нужди/особености
  • Гарантира оригиналния произход на информацията
  • Обезпечава автоматизирано разпознаване на типа на източника

С помощта на вградени колектори и конектори се събират данни от различни операционни системи, бази данни, защитни стени, системи за предпазване от външни атаки и откриване на опити за достъп, aнтивирусни приложения, мейнфрейми, уеб и приложни сървъри и др. Колекторите преглеждат, нормализират и филтрират данните от регистрационните файлове, за да улеснят анализа, визуализацията и отчитането на събития свързани със сигурността.

Продуктът обезпечава централизирано събиране на събития по сигурността и разпределено наблюдение през уеб интерфейс.

Допълнителни ползи:

  • Генериране на отчет с едно кликване директно от резултатите при търсене
  • Съдържа предварително дефинирани отчети в съответствие със стандарти като PCI-DSS (стандарт за сигурност на данните при картови разплащания), HIPAA, SOX и др.
  • Извеждане на справки и осъществяване на търсене, както в онлайн така и в архивираните данни
  • Резултатите от търсенето са интерактивни – промяна и усъвършенстване на критериите става с директно кликване върху данните
  • Данните се компресират автоматично, за да се минимизират изискванията за съхраняване в степен 10:1
  • Политиките, които клиента задава за съхраняване, могат да се дефинират на база полза от информацията и/или по определено указание
  • Интуитивен графичен интерфейс показващ тенденцията за използване на данните и всякакви потенциални проблеми
  • Поддръжка, без необходимост от инсталиране, на агенти за широк набор от източници на данни в точките където възникват събития
  • Поддръжка за различни типове устройства за архивиране – не изисква устройства за съхранение собственост на определени производители
  • Kриптиране на комуникацията в мрежата, подобрявайки сигурността и целостта на данните

Предимства:

  • Няма ограничение на броя на сървърите които се изграждат, което при териториално разсредоточени ИТ системи повишава надеждността и ускорява и улеснява работата
  • Няма лимит на броя конзоли от които се администрира. Софтуерен "appliance", който може да се инсталира както върху физически така и върху виртуални машини.
  • Лицензирането и цената са на база EPS, но не на брой пикови а на среден за 24 часа брой регистрирани събития, т.е. срещу 500 peak EPS имаме 500 average 24 h EPS, което е многократно по-голям обхват. По този начин повишения брой възникнали събития през деня се уравновесява с липсата на такива през нощта. Системата няма рестриктивен характер при надвишаване броя на събитията. Предлага се във варианти от 500 EPS до 50000 EPS.

Технически параметри:

Решението се предлага и като софтуерен "appliance", който може да се инсталира върху виртуална инфраструктура. Минималните технически изисквания за виртуалната машина са 1 четири ядрен процесор и 8 GB RAM.

Броят на сървърите, чрез които се изгражда системата и се събират събитията е неограничен, т.е. предлагаме лиценз включващ неограничен брой сървъри, които колекционират събитията.

Управлението и наблюдението на събитията, както и поддръжката на системата са уеб базирани.

Решението работи със собствена база данни, която е специализирана за нуждите му, осигурявайки висока производителност. Тя е част от пакета, оптимизирана за конкретните цели и не е необходимо да се закупува отделно (не се лицензира допълнително). Продуктът не използва популярните БД като MS SQL. Oracle и др. поради спецификата на проблемите, които тя решава.

Възможността за генериране на персонализирани отчети е интегрирана в продукта. С уеб базиран интерфейс могат да се генерират различен тип отчети. Процедурата за разработване на собствени отчети е описана детайлно в документацията на продукта.

Системата дава прогноза за необходимите дискови ресурси за 60 дни напред. Показва се прогнозното дисково пространство необходимо за събиране и архивиране на събраните логове. Дисковото пространство може да се разширява динамично.