Организация SIEM с помощью EventLog Analyzer
EventLog Analyzer является самым доступным в плане затрат решением для управления информационной безопасностью и событиями безопасности (SIEM) из доступных на рынке. EventLog Analyzer обладает всеми возможностями, которые критически необходимы для SIEM, такими как сбор журналов из разнородных источников, криминалистическая экспертиза журналов, сопоставление событий, отправка оповещений в режиме реального времени, мониторинг целостности файлов, анализ журналов, мониторинг действий пользователей, аудит доступа к объектам, создание отчетов о соответствии требованиям, а также хранение журналов..
Возможности SIEM решения EventLog Analyzer
EventLog Analyzer собирает журналы из разнородных источников (системы Windows, системы Linux и Unix, приложения, базы данных, маршрутизаторы, коммутаторы и другие устройства, на которых ведутся системные журналы) для централизованного управления ими. Технология универсального синтаксического анализа и индексирования (ULPI) в составе EventLog Analyzer позволяет выполнять расшифровку данных любого журнала, независимо от источника и формата журнала.
EventLog Analyzer значительно упрощает криминалистический анализ журналов за счет эффективного поиска по журналам для подробного изучения необработанных данных журналов и форматированных журналов, а также позволяет мгновенно создавать отчеты о криминалистической экспертизе на основе результатов поиска.
С помощью EventLog Analyzer администраторы сети могут подробно изучить необработанные данные журнала и провести анализ основных причин для поиска той записи в журнале, которая привела к инциденту безопасности, определить точное время соответствующего события безопасности, пользователя, который выполнил действие, а также место, откуда оно выполнялось.
Сопоставление событий и отправка оповещений в режиме реального времени позволяют администраторам сети предпринимать упреждающие меры по защите сети от угроз. С помощью EventLog Analyzer можно настраивать правила и создавать сценарии для сопоставления событий на основе условий пороговых значений или необычных событий, а также отправлять уведомления в режиме реального времени о любых нарушениях пороговых значений или необычной работе сети.
Модуль сопоставления событий EventLog Analyzer включает более 70 предварительно настроенных правил сопоставления, которые позволяют отслеживать доступ пользователей, вход пользователей в систему, целостность файлов, создание пользователей, групповые политики, незапланированная установка программного обеспечения и многое другое
EventLog Analyzer осуществляет мониторинг целостности файлов (FIM) в режиме реального времени за счет защиты конфиденциальных данных и обеспечения соответствия требованиям. С помощью функции мониторинга целостности файлов в составе EventLog Analyzer специалисты по безопасности теперь могут организовать централизованное отслеживание любых изменений в файлах и папках, а также узнать, когда были созданы, просмотрены, удалены, изменены, переименованы файлы и папки, когда к ним осуществлялся доступ, а также многое другое.
EventLog Analyzer анализирует журналы в режиме реального времени и представляет проанализированные данные в удобном для понимания формате — диаграммы, графики и отчеты. Пользователи могут с легкостью ознакомиться с подробными данными на информационной панели, чтобы получить полную картину того, что происходит в сети организации, а также выполнить анализ основных причин буквально в считаные минуты. Решение также позволяет настроить отправку оповещений в режиме реального времени на основе актуальных сведений об анализе угроз из веб-каналов STIX/TAXII.
EventLog Analyzer позволяет создавать исчерпывающие отчеты для мониторинга действий пользователей. Благодаря этому можно отслеживать подозрительное поведение пользователей, включая тех, у кого имеются права администратора (PUMA).
Вы получаете точные сведения о доступе пользователей, такие как информация о том, какой пользователь выполнил то или иное действие, каков был результат этого действия, на каком сервере это произошло, а также можете отследить рабочую станцию, на которой было инициировано действие.
EventLog Analyzer позволяет получить точные сведения о том, что произошло с файлами и папками — кто получал к ним доступ, удалял или редактировал их, перемещал их, куда были перемещены файлы и папки и т. д. С помощью EventLog Analyzer можно создавать отчеты о доступе к объектам в популярных форматах (PDF и CSV). Также можно настроить отправку оповещений в режиме реального времени (по SMS или электронной почте) о несанкционированном доступе к файлам и папкам.
Вы получаете точные сведения о доступе к объектам, такие как информация о том, какой пользователь выполнил то или иное действие, каков был результат этого действия, на каком сервере это произошло, а также можете отследить рабочую станцию или сетевое устройство, на котором было инициировано действие.
Отчеты о соответствии требованиям являются основной задачей SIEM, а с помощью EventLog Analyzer организации могут с легкостью обеспечить соответствие нормативным требованиям за счет мониторинга и анализа данных журналов на всех устройствах и во всех приложениях в сети. EventLog Analyzer позволяет создавать предварительно настроенные и готовые отчеты о соответствии требованиям стандартов, таких как PCI DSS, FISMA, GLBA, SOX, HIPAA и т. д.
В состав EventLog Analyzer также входят такие полезные функции, как настройка существующих отчетов о соответствии требованиям и создание новых отчетов о соответствии требованиям, что позволяет обеспечить соответствие постоянно меняющимся нормативным требованиям. Пример: узнайте о том, как компания TRA использует наш продукт для создания отчета о соответствии требованиям стандарта ISO 27001.
EventLog Analyzer хранит исторические данные журналов в целях обеспечения соответствия требованиям различных стандартов, для криминалистической экспертизы журналов, а также для проведения внутреннего аудита. Все хранящиеся данные журналов хэшируются и помечаются меткой времени для защиты от несанкционированных изменений. EventLog Analyzer хранит все генерируемые на компьютере журналы — системные журналы, журналы устройств и приложений — в центральном репозитории.
Видео по теме