Российская SIEM‑система, разработанная для анализа и корреляции событий информационной безопасности и IT-инфраструктуры в режиме реального времени. Объединяет продвинутую аналитику, визуализацию, автоматическое реагирование и гибкое управление инцидентами
Российская SIEM‑система, разработанная для анализа и корреляции событий информационной безопасности и IT-инфраструктуры в режиме реального времени. Объединяет продвинутую аналитику, визуализацию, автоматическое реагирование и гибкое управление инцидентами
Корреляция осуществляется на потоке событий в режиме реального времени и включает более 650-ти правил из коробки.
Правила корреляции позволяют выявлять инциденты информационной безопасности. В системе RuSIEM реализован простой и интуитивно понятный конструктор, который позволяет составлять собственные правила без навыков программирования.
Правила корреляции могут быть разной сложности: сложносоставные (в рамках одного правила, рассматривается две цепочки событий), построение каскада правил (использование нескольких разных правил в рамках одного сценария выявления), использование списков и таблиц.
Гибкая визуализация данных
Отображает события в дашбордах, графиках и отчётах — от общей картины до детальной аналитики в пару кликов.
Можно строить разные типы виджетов: круговые диаграммы, линейные графики, виджет «Карта» и многое другое. Вы никак не ограниченны в количестве панелей мониторинга (дашбордов) и виджетов.
Для построения отчетов используется конструктор, который позволяет детально настроить, в каком виде и что нужно внести в отчет. Отчеты можно отправлять автоматически по расписанию на почту. Формирование отчетов поддерживается в форматах: PDF, CSV DOCX, XSLX.
Встроенный инцидент-менеджмент
Организует обработку инцидентов: создаёт задачи, распределяет ответственность и отслеживает ход расследования.
Работа с карточками инцидента и возможность персонализации (добавление нужных полей в карточку). Возможность выгрузки инцидентов в JSON. В рамках каждого инцидента можно ставить задачи на пользователей, смотреть комментарии и историю изменений.
Глубокий полнотекстовый поиск
Находит нужные события по любым параметрам: с контекстом, фильтрацией и мгновенным откликом.
События можно искать не только по паре ключ:«значение», но и по части текста, которое содержит это событие. Это позволяет искать целевые события, когда нет информации, в какой поле записалось нужное значение.
Подключение любых источников
Интегрирует сетевые устройства, ОС, приложения и сервисы через агентов, Syslog, REST API и другие протоколы. Из коробки поддерживается более 400 источников.
Если вдруг вы не нашли ваш источник среди поддерживаемых, вы можете подключить его к системе и посмотреть события в unparsed. После чего можно будет написать парсер для него самостоятельно или обратиться к нам за помощью.
Надёжное и масштабируемое хранение
Хранение сырых и нормализованных событий в базе данных ElasticSearch. Хранение инцидентов и событий, привязанных к инцидентам в PostgreSQL и ClickHouse.
Возможность построения кластера Elasticsearch для гибкой настройки хранения событий: горячее, теплое, холодное.
Возможность архивного хранения событий: json extract, elastic snapshot. Для этого можно использовать любую сетевую папку или полноценное СХД.
Масштабируемая архитектура
Поддерживает горизонтальное и вертикальное масштабирование, с возможностью расширения системы "на горячую".
В любой момент к системе можно достроить ноды с БД и микросервисами. Возможность реализации отказоустойчивой архитектуры. Существуют разные типы установок: All-in-one (все в одном), RuSIEM с вынесенной БД (Elasticsearch), распределенная инсталляция (микросервисы распределяются по разным нодам).
Работой каждого микросервиса можно управлять с помощью настраиваемой конфигурации, что позволяет эффективно настроить систему под высокие нагрузки.
Аналитика и автоматизация на базе ML
Определяет сложные цепочки угроз и рекомендует действия, снижая нагрузку на аналитиков и ускоряя реагирование.
Используйте встроенные правила для детектирования аномалий и создавайте свои. Правила позволяют выявлять отклонения в вашей инфраструктуре. Подсистема BASELINE предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и выявление аномалий в инфраструктуре на их основе.
Модуль поведенческого анализа основан на машинном обучении и позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.
Для чего нужна RuSIEM
Система помогает организациям
Быстро выявлять инциденты ИБ и IT, в том числе сложные и неочевидные
Минимизировать время реакции на угрозы за счёт автоматизации
Обеспечивать соответствие требованиям регуляторов и внутренним политикам безопасности
Сократить затраты на безопасность, объединив в одной платформе лог-менеджмент, корреляцию, расследование и инцидент-менеджмент
Повышать прозрачность процессов в распределённой IT-инфраструктуре
Автоматизировать работу SOC, службы мониторинга и службы IT-поддержки
Выявлять внутренние угрозы и инсайдеров, анализируя действия пользователей и систем в реальном времени
Расследовать инциденты от причины до последствий, строя полную цепочку событий
Почему стоит выбрать RuSIEM?
Полное соответствие требованиям регулятора;
Не теряем события за счет буферизации на каждом микросервисе;
Интуитивно понятный и «дружелюбный» интерфейс;
Обогащение, категоризация и критичность событий за счет симптоматики;
Корреляция событий в реальном времени и возможность ретроспективного анализа (историческая корреляция);
Интеграция с ГосСОПКА из коробки;
Интеграция с IoC ФинЦЕРТ из коробки;
Простота установка системы за 10 минут;
Большое количество поддерживаемых источников (более 400);
Открытое API для взаимодействия;
Модуль на основе машинного обучения RuSIEM Analytics;
Гибкая масштабируемость «на горячую».
Гибкая модель лицензирования
Бессрочная и срочная лицензия
Лицензирование на любое количество EPS
Без ограничений на количество источников
Адаптация под требования заказчика
Кому подойдет RuSIEM
Медицина и фармацевтика Образование и наука Ритейл и e‑commerce Связь и телеком Корпорации и холдинги с филиальной структурой Финансовый сектор (банки, страховые, МФО) Государственные и муниципальные учреждения Промышленные предприятия и критическая инфраструктура
Медицина и фармацевтика Образование и наука Ритейл и e‑commerce Связь и телеком Корпорации и холдинги с филиальной структурой Финансовый сектор (банки, страховые, МФО) Государственные и муниципальные учреждения Промышленные предприятия и критическая инфраструктура
RuSIEM Analytics — мгновенное обнаружение угроз на основе машинного обучения (ML и DL)
Интеллектуальный анализ событий на основе симптомов и поведенческих аномалий позволяет выявлять инциденты, которые нельзя описать правилами корреляции
Совместимость и развертывание
Развертывание и архитектура
Быстрая инсталляция с помощью скрипта установки;
Гибкая микросервисная архитектура: возможность расположения микросервисов на разных нодах, использование коллекторов, кластеризация баз данных;
Готовность к установке в изолированных (airgap) средах;
Масштабируемость под любые нагрузки — от SMB до федеральных структур.
Совместимость
Поддержка российской ОС: Astra Linux SE 1.8 и выше;
Работа как в виртуальных средах, так и на физическом сервере;
Интеграция с инфраструктурой Active Directory, включая поддержку протоколов LDAP и Kerberos;
Совместимость с отечественными СЗИ: WAF, DLP, NTA, антивирусы и прочие;
Приём событий от любых источников используя протоколы: Syslog, REST API, SNMP (1, 2, 2c), NetFlow (3, 6, 9), а также через собственных агентов RuAgent.
Часто задаваемые вопросы
Можно ли попробовать RuSIEM бесплатно?
Да. Доступна бесплатная версия RvSIEM Free и демо-доступ к полной системе. Можно развернуть тестовый стенд или посмотреть живую демонстрацию со специалистом предпродажной подготовки.
Нужно ли уметь программировать, чтобы писать правила корреляции в RuSIEM?
Нет. Используется интуитивно понятный конструктор для составления и редактирования правил корреляции.
Работает ли RuSIEM в изолированной сети?
Да. Система полностью автономна, не требует выхода в интернет, поддерживает установку и обновления в изолированных средах.
Как быстро можно внедрить RuSIEM?
В базовой конфигурации — за 1–2 дня. При необходимости полной адаптации под инфраструктуру внедрение может занять 1–2 недели. Интеграторы и партнеры помогут ускорить процесс.
Есть ли ограничения по количеству подключаемых источников?
Нет. В коммерческой версии RuSIEM нет лимитов на количество источников или объём логов — вы платите за функциональность, а не за трафик.
Какие ресурсы нужны для работы RuSIEM?
Зависит от объёма событий. Минимально — от 6 CPU, 10 ГБ ОЗУ и 100 ГБ диска. Для промышленных и распределённых систем — масштабируется до нескольких узлов. Если вам необходим точный расчет требований под вашу инфраструктуру, обратитесь к нашим менеджерам.
Модуль для коммерческой версии системы RuSIEM, дополняющий возможностями ML (Machine learning), DL (data learning), по визуализации данных, управление активами и множеством других, способствующих обнаружению угроз и аномалий, решающих различные кейсы с помощью современных методик.
RvSIEM является свободно распространяемым решением класса LM (Log Management). Он имеет отчеты, нормализацию, поиск данных, долгосрочное хранение событий, информационные панели и инструменты визуализации.
