Разработка программного обеспечения
Создавая действительно полезное
Есть вопросы?

Задайте их нам!

Телефон:

Платформа Alertix

Логотип  это универсальный инструмент сбора и обработки данных, поиска и автоматического сигнатурного обнаружения нежелательных событий или их комбинаций, а также визуализации динамики и значений хранимых данных. Alertix может быть использован в целях управления журналами ИТ систем (LM) ИТ и ИБ мониторинга (SOC, NOC), построения и контроля ресурсно-сервисных моделей, поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных. В дополнении к основному функциональному ядру Alertix предлагаются приложения, обеспечивающие снижение трудозатрат на рутинные операции, учет и контроль.

Решаемые задачи и сценарии применения

 Реш.задачи
Гибкие возможности масштабирования, обеспечения отказоустойчивости, распределения компонентов и простого быстрого обновления обеспечиваются за счет применения контейнеризации.
Децентрализация хранения данных позволяет обеспечить:

  • геораспределенное исполнение с сохранением централизованного управления и мониторинга.
  • неограниченное наращивание производительности: каждый кластер способен обработать до 30k EPS (Event per second) пикового входящего потока, при увеличении потока просто добавьте data-cluster и receiver.  

Примените иерархическое взаимодействие отдельных самостоятельных инсталляций Alertix в центральном офисе и филиалах: ответственные на местах могут работать с инцидентами, обслуживать и администрировать свою инсталляцию, специалисты в центральном офисе контролировать эффективность, формировать отчеты и обладать единой картиной состояния ИБ в филиалах.

Иерархическое взаимодействие обеспечивает видимость данных в подчиненных установках, сохраняя при этом полные возможности администрирования и эксплуатации на местах.

Все_в_одном_

Состав и функции Платформы Alertix

Подсистема приема и обработки входящих событий (Receiver)

Предназначен для приема и обработки событий, передаваемых с использованием определенного протокола или транспорта активным и пассивным способами (SYSLOG, SNMP trap, JDBC, netflow, API и тд.), а также от агентов Alertix. Выполняет следующие функции:

  • прием событий от источников, их обработку (выделение значимых полей) для последующей передачи на индексирование и хранение;
  • нормализацию событий, обогащение событий дополнительно задаваемыми словарными данными;
  • настройку параметров удаления событий из очередей обработки;
  • обогащение событий дополнительно задаваемыми словарными данными.

Подсистема хранения на основе нереляционной СУБД (Data cluster)

Осуществляет хранение и поиск в сохраненных данных. Выполняет:

  • аутентификацию и авторизацию пользователя при доступе к данным;
  • обработку поступающих событий для создания поисковых индексов, сжатие и хранение проиндексированных событий в индексах;
  • выполнение поисковых запросов и резервирование хранимых событий;

Консоль визуализации и поиска

Инструмент формирования поисковых запросов и визуализации полученных результатов. Функциональность консоли:

  • аутентификацию и авторизацию пользователя, в т. ч. с использованием внешнего сервиса LDAP;
  • возможность отображения результатов поисковых запросов в табличном представлении и с использованием языка разметки;
  • возможность отображения агрегированных и отфильтрованных данных в событиях с помощью широкого перечня элементов визуализации: тепловые карты, гео-карты, облака тегов, о-метры, светофоры, диаграммы: круговые, столбчатые, графики, временные шкалы и простые таблицы данных с использованием агрегаций;
  • возможность создания собственных панелей визуализации (дашбордов) на основе набора элементов визуализации;

Подсистема автоматизированного поиска признаков инцидентов (Signal)

Предназначена для выявления в наборах поступающих событий признаков инцидентов ИБ в соответствии с заданными правилами. Компонент производит запись сведений о выявленных признаках, обогащая дополнительной информацией, необходимой для приоритезации работы с ними.
Правила, используемые компонентом, поддерживают поиск цепочек событий, использование списков исключений, расчет показателя опасности каждого обнаружения (риск-скоринга) на основе показателей достоверности и приоритета, а также заданной степени критичности ИТ актива, на котором произошло обнаружение. Правила классифицируют обнаружения по категориям:

  • Нарушение заданных политик ИБ
  • Эксплуатация уязвимостей
  • Ошибки конфигурации и потенциальные угрозы
  • Обнаружение атак на различных стадиях: заражение, закрепление и др.

Подсистема управления

Является основным инструментом администратора Alertix. Предоставляет web-интерфейс выполнения операция обслуживания, масштабирования и настройки, а также предоставляет дополнительный инструментарий для аналитиков ИБ. Поддерживается аутентификация с использованием внешнего сервиса LDAP. Обеспечивает журналирование действий пользователей подсистемы, мониторинг и отображение текущих параметров работоспособности платформы и отдельных ее компонент, резервное копирование и восстановление, контроль глубины хранения доступных для поиска событий и автоматизированные операции с устаревшими данными, уведомление о событиях и отправку отчетов посредством внешних систем.

Подсистема предоставляет набор приложений, позволяющих осуществлять процесс выявления, расследования, учета инцидентов без использования сторонних средств:

  • Приложение управления инвентаризационной информацией об ИТ активах – используйте импортируемую, введенную вручную и автоматически найденную в каталоге LDAP и событиях информацию для определения критичности ИТ актива, контактов ответственных лиц и взаимосвязи элементов инфраструктуры.

  • Приложение управления жизненным циклом инцидентов ИБ – осуществляйте назначение выявленных подозрений на аналитиков, отслеживайте соблюдение заданных метрик эффективности процессов SOC, фиксируйте факты, устанавливайте связи и зависимости инцидентов и многое другое в интегрированном интерфейсе.

  • Приложение поддержки ручной аналитики – инструмент дополнительной визуализации и представления хранимых данных. Позволяет визуализировать граф цепочки запуска процессов, использовать сквозные фильтры для поиска данных в разрезах: изменение реестра windows, изменение файлов, сетевые соединения, запуск процессов, активность пользователей.

  • Приложение отправки данных в НКЦКИ (ГосСОПКА) осуществляет подключение к ЛК ГосСОПКА с использованием API и регистрацию новых инцидентов в ЛК ГосСОПКА. Компонент предоставляет возможности предварительного утверждения отправки сведений в НКЦКИ ответственными лицами.

  • Приложение загрузки и поиска по индикаторам компрометации производит загрузку IOC из облачного хранилища NGR Softlab, содержащего свободно распространяемые индикаторы, из подключаемых платных источников а также хранение введенных вручную индикаторов. Позволяет осуществлять автоматический и ручной в т. ч. ретроспективный поиск по IOC в поступающих событиях.

  • Приложение формирования отчетов позволяет формировать два вида отчетов. Управленческие отчеты в формате PDF, содержат значения метрик эффективности процессов, характеристик потоков событий, и статистических сведений о зарегистрированных инцидентах с декомпозицией по стадиям, типам атак и т.д. Аналитические отчеты содержат выгрузки событий с применением фильтров и логики поисковых запросов в форматах электронных таблиц.

Агенты конечных узлов (Alertix agent)

Осуществляет доставку событий ОС Windows и Linux в Платформу в соответствии со своей конфигурацией. Агент для Windows может быть расширен драйвером sysmon, позволяющим регистрировать события наравне с коммерческими EDR решениями. Агент непрерывно выполняет контроль собственного функционирования, обновление конфигурации установленных сервисов, упаковку, сжатие и доставку событий и сведений о своем функционировании в Платформу.

Преимущества Alertix

  • Комплексность решения: функционал LM, SIEM, учет инцидентов, учет активов;
  • Возможность взаимодействия с НКЦКИ в части регистрации инцидентов в ЛК ГосСопка;
  • Встраивается в любую инфраструктуру: высокая гибкость и возможности интеграции;
  • Непрерывно совершенствуется за счет использования в MSSP исполнении;
  • Не требует больших усилий и вложений в персонал для поддержания уровня доступности 99% и выше;
  • Не зависит от курса доллара, не облагается НДС - российское ПО;
  • Лицензия является перманентной и включает 1 год поддержки вендора;
  • Базовая лицензируемая метрика – «чистый» EPS, платите только за те события, которые необходимо хранить.

Документация по платформе

Требования к аппаратным средствам

Основными характеристиками, влияющими на необходимые вычислительные мощности, является величина фильтрованного потока событий (EPS), длительность хранения данных и требования к отказоустойчивости. Платформа поддерживает как горизонтальное, так и вертикальное масштабирование.
Сервер, предназначенный для установки ПО Alertix в двух вариантах исполнения, должен соответствовать следующим аппаратным требованиям:

Требования_к_АС  

Дистрибутив

Скачать дистрибутив платформы Alertix  версия 3.0.3 от 23.03.2021

 

Наверх
Энджиар Софтлаб

Копирование для собственных нужд, с целью распространения, а также любое иное использование материалов и элементов сайта запрещено без письменного согласия ООО «Энджиар Софтлаб»

Телефон: