Ankey SIEM автоматизирует определение приоритетов угроз безопасности и нарушений требования ИБ на основе анализа и корреляции событий ИБ. Система анализирует каждый вход в систему и выход из нее, доступ к ресурсам, запросы к базе и транзакция.
Ankey SIEM обеспечивает:
- Сбор, хранение и анализ событий из любого источника и в необходимое время.
- Анализа необычных или несанкционированных действий.
- Персонализированные панели мониторинга и отчеты, в том числе, отчетов о соответствии стандартам безопасности.
- Интеграция c ИТ-сервисами: CMDB, бизнес-аналитика, кадровые системы и др.
- Оптимальную глубину и скорость сбора событий благодаря запатентованным инструментам.
Продукт развивается в соответствии с трендами рынка программного обеспечения в сфере систем сбора и обработки событий информационной безопасности. В его основу вошли проверенные решения SIEM систем. Сейчас активно развивается OEM при поддержке Micro Focus ArcSight и Positive Technologies.
Функции Ankey SIEM
Сбор и предварительная обработка - Автоматизация процесса сбора, фильтрации, нормализации, категорирования, агрегирования и приоритезации событий ИБ.
- Единая русскоязычная консоль для доступа к собранным событиям.
- Вспомогательная русскоязычная справочная система.
Расследование событий и выявление инцидентов - Создание высокоуровневой картины состояния информационной безопасности предприятия, с использованием встроенных инструментов: фильтры, отчеты, корреляционные правила и инструментальных панелей.
Механизмы визуализации событий безопасности - Отчёты, позволяющие отслеживать состояние информационной безопасности с высокой степенью детализации за выбранный период времени.
- Инструментальные панели и активные каналы, отображающие события в режиме реального времени.
Расширенная аналитика - Обеспечение специалистов ИБ инструментами эффективного анализа информации, на основе сценарного подхода (дашборды, типовые интерактивные отчеты с данными в табличном и графическом представлении) и аналитики в режиме самообслуживания (конструирование пользователем своих представлений анализируемых данных).
- Свободный поиск данных по всему массиву анализируемых данных.
- Интерактивное формирование выборок данных, основанных на интересующих пользователя комбинациях атрибутов и объектов данных, выходящих за рамки стандартных отчетов.
- Быстрый выбор формы наиболее наглядного представления данных (сводная таблица, линейный график, гистограмма, круговая диаграмма) с возможностью фильтрации интересующих данных непосредственно в графических диаграммах.
- Реализация расчетов прогнозных значений анализируемых показателей, на основе их ретроспективных данных.
Особенности Ankey SIEM
- Интеграция с любыми источниками данных.
- Единая консоль доступа ко всем событиям и инцидентам ИБ.
Преимущества
-
Управление рисками информационной безопасности.
-
Непрерывный контроль над IT-инфраструктурой.
-
Выявление, расследование и прогнозирование инцидентов информационной безопасности.
-
Соблюдение требований ведущих отечественных и международных нормативных документов.
Динамика внедрений Ankey SIEM
Ankey SIEM внедрена в ряд предприятий группы компаний ПАО «Газпром», а также на другие топливно-энергетические предприятия.В рамках разработки и обслуживания продукта «Газинформсервис» сотрудничает с ведущими российскими и зарубежными компаниями, специализирующимися на решениях класса SIEM.
Система мониторинга и управления событиями безопасности Ankey SIEM эффективно решает задачи автоматизации мониторинга активности в ИТ-инфраструктуре, выявления инцидентов информационной безопасности и кибератак.
Архитектура решения
Программный комплекс Ankey SIEM состоит из нескольких компонентов – основных и дополнительных.
Основными компонентами программного комплекса Ankey SIEM являются:
Cервер сбора событий – предназначен для размещения программного обеспечения Ankey SIEM Smart Connectors, Ankey SIEM Flex Connectors, и, опционально, программного обеспечения Ankey SIEM Management Center с целью организации централизованного сбора, нормализации, категоризации событий из записей журналов регистрации от различных источников, а также централизованного управления другими серверами сбора событий и коннекторами в их составе. После предварительной обработки события информационной безопасности передаются на сервер корреляции для выполнения последующей обработки.
Cервер корреляции – предназначен для размещения программного обеспечения Ankey SIEM Enterprise Security Manager и обработки поступивших событий информационной безопасности от сервера сбора событий или от сервера хранения. Выполняет основные функций анализа и корреляции, а также управления обработанными событиями информационной безопасности. Результаты анализа и корреляции событий информационной безопасности сервер корреляции направляет администраторам программного комплекса Ankey SIEM путем отображения оповещений в графических консолях управления.
Автоматизированное рабочее место администратора – предназначено для развертывания программного обеспечения Ankey SIEM Console, а также для работы с компонентами программного комплекса Ankey SIEM через графические консоли управления.
К дополнительным компонентам программного комплекса Ankey SIEM относятся:
Сервер хранения – предназначен для развертывания программного обеспечения Ankey SIEM Logger. Сервер хранения выполняет следующие функции:
- прием обработанных событий информационной безопасности от серверов сбора событий
- индексация и размещение событий информационной безопасности в локальной базе данных
- сквозной поиск и мониторинг событий информационной безопасности
- долговременное хранение нормализованных событий информационной безопасности
Cервер аналитики – Ankey SIEM Advanced Analytics, представляет собой набор аналитических инструментов для анализа поступающих событий информационной безопасности. Модули Ankey SIEM Advanced Analytics задействуют программное обеспечение Qlik Sense в качестве среды функционирования. Сервер аналитики в составе программного комплекса Ankey SIEM выполняет аналитическую обработку данных, предоставленных сервером управления событиями, для выявления подозрительных и неестественных закономерностей среди действий пользователей в инфраструктуре, а также предназначен для интерактивного графического представления этих данных.
Комплексное применение основных и дополнительных компонентов Ankey SIEM обеспечивает эффективное управление событиями и подозрениями на инциденты информационной безопасности, позволяет выполнять расширенный событийный анализ, а также помогает контролировать соблюдение нормативных требований и стандартов в области безопасности информации.
Компоненты Ankey SIEM возможно развернуть как на выделенной аппаратной платформе, так и в виртуальной среде.
При развертывании компонентов Ankey SIEM в виртуальной среде потребуется на 20% больше вычислительных ресурсов по сравнению с требованиями к аппаратной реализации.
Требования к вычислительным ресурсам компонентов Ankey SIEM при развертывании на аппаратной платформе
Сервер корреляции
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 2 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 2000 IOPS.
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 32 ядер, 2.4 ГГц
- Оперативная память: 192 ГБ
- Жесткий диск: не менее 6 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 10000 IOPS.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.3 64 bit
- Процессор: 40 ядер, 2.4 ГГц
- Оперативная память: 512 ГБ
- Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.
Сервер сбора событий
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 8 ядер, 2.4 ГГц
- Оперативная память: 24 Гбайт
- Жесткий диск: не менее 0,5 Тбайт. Зависит от сроков хранения событий
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 48 ГБ
- Жесткий диск: не менее 1 ТБ. Зависит от сроков хранения событий.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 20 ядер, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 2 ТБ. Зависит от сроков хранения событий.
Сервер хранения
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 12 ядер, 2.4 ГГц
- Оперативная память: 32 ГБ
- Жесткий диск: не менее 4 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 2000 IOPS.
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 24 ядера, 2.4 ГГц
- Оперативная память: 64 ГБ
- Жесткий диск: не менее 12 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 10000 IOPS.
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система RHEL 7.4 64 bit
- Процессор: 20 ядер, 2.4 ГГц
- Оперативная память: 128 ГБ
- Жесткий диск: не менее 18 ТБ. Зависит от сроков хранения событий. Рекомендуется применять СХД не менее 20000 IOPS.
Сервер аналитики
Базовая инсталляция (до 1000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 4 ядера, 2.4 ГГц
- Оперативная память: 128 ГБ
- Жесткий диск: не менее 2 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Расширенная инсталляция (до 5000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 8 ядер, 2.4 ГГц
- Оперативная память: 256 ГБ
- Жесткий диск: не менее 4 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Высокопроизводительная инсталляция (более 5000 событий/сек):
- Среда установки: операционная система MS Windows Server 2016
- Процессор: 16 ядер, 2.4 ГГц
- Оперативная память: 512 ГБ
- Жесткий диск: не менее 8 ТБ
- Дополнительное ПО: Qlik Sense Enterprise 3.2 SR3; драйвер для подключения к СУБД mysql-connector-odbc-5.3.9-win32.msi
Автоматизированное рабочее место администраторов ПК Ankey SIEM
- операционная система MS Windows 7 Professional (x86/x64)
- Процессор: не ниже Intel Core i3 (или аналогичный) с частотой 3.4 ГГц
- Оперативная память: 4 ГБ
- Жесткий диск: не менее 100 ГБ
- Разрешение экрана и диагональ: рекомендуется разрешение не ниже 1920х1080, диагональ не менее 23”
- Дополнительное ПО: Internet Explorer не ниже версии 8.0; Google Chrome не ниже версии 60.0; Яндекс.Браузер не ниже версии 17.10
