«СёрчИнформ SIEM» – система управления событиями информационной безопасности в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует ИБ-инциденты и оповещает о них службу безопасности.
Как SIEM помогает бизнесу?
Сбор событий из различных программных и аппаратных источников;
Приведение событий к единому формату с использованием стандартных операторов и обогащение событий недостающей информацией;
Анализ событий и формирование инцидентов в соответствии с правилами. Детектирование угроз путем выявления корреляций событий и/или инцидентов.
Оповещения и инцидент-менеджмент
Сервер SIEM отвечает за обработку, корреляцию событий ИБ и реагирование на них. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. В свою очередь DataCenter получает сведения о пользователях и компьютерах путем синхронизации с Active Directory. Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы.