Могу ли я установить платформу Алертикс на Centos?
Нет, работа платформы Алертикс предназначена для функционирования в ОС Ubuntu версии 18.04 LTS Server и выше.
У вас Elastic завернут определенной версии или его можно будет обновлять?
Самостоятельно управлять эластиком и обновлять в продукте нельзя. Используется 7.10 OSS, планируется переход на opensearch (форк от Amazon).
Поставляется ли в составе продукта преднастроенный контент и какой?
В составе продукта предоставляется набор правил корреляции, дашбордов, шаблонов отчетов и коннекторов. Количество и состав постоянно пополняется за счет использования продукта в ядре услуг SOC наших партнеров. Правила корреляции распространяются через облачное хранилище.
Могу ли я вносить изменения в стандартные парсеры данных и писать свои парсеры?
Вносить изменения в стандартные парсеры нельзя, но Вы можете выгрузить файл post_filter.conf и добавить необходимые Вам операции в части парсинга по конкретному хосту или типу источника.
Написать свои парсеры для источников данных Вы можете. В этом случае для IP адреса источника необходимо установить тип Custom, после чего обрабатывать его события через конфигурационный файл post_filter.conf. Для парсеров используется синтаксис конфигурации Logstash!
Планируется ли создание функционала активного сканирования ИТ-активов ?
Мы планируем в первую очередь развивать интеграцию со сторонними сканерами безопасности и системами ITAM/CMDB, планов по разработке активного сканера пока нет.
Поставляете ли вы в составе сервиса подписки на потоки данных об индикаторах компрометации (TI feeds)?
В состав сервиса технической поддержки при приобретении приложения сканирования по IOC входит доступ к облачной TIP, аккумулирующей OSINT источники и индикаторы распространяемые ФинЦЕРТ.
Как лучше лицензировать продукт, по пользователям или по конечным устройствам?
Выбор способа лицензирования всегда зависит от инфраструктуры: в одном случае выгоднее лицензировать конечные устройства, в другом — конкурентные сессии пользователей. Это определяется по данным заполненного клиентского брифа, а еще точнее - по результатам пилота.
Поддерживается ли двухфакторная аутентификация и, если да, то с использованием каких методов?
Да, поддерживается. Рассылка одноразовых паролей и токенов возможна по электронной почте и с использованием внешнего сервиса.
Какие СУБД поддерживаются для проксирования SQL сессий?
Прокси поддерживает широкий спектр самых распространенных СУБД SQL и NoSQLтипов, включая: Oracle, MS SQL, MySQL, PostgreSQL, Cassandra, Teradata, SAP DB и др.
Какие протоколы удалённого доступа поддерживаются?
SFTP, RDP, SSH, VNC, Telnet.
Как система интегрируется в инфраструктуру?
Между пользователями и серверами. Единая точка доступа к системам.
Как можно протестировать систему?
Пилот нашими силами, облачный пилот, самостоятельное тестирование через ova-образ. Если планируете самостоятельный тест системы или пилотный тест, свяжитесь с нами по тел: +7 (495) 269-29-59.
У нас нестандартный источник, его можно подключить?
Продукт был протестирован на множестве источников, в том числе и нестандартных. Да, можно.
Обеспечивается ли отказоустойчивость продукта и каким образом?
Отказоустойчивость обеспечивается за счет кластеризации компонента хранения, СУБД конфигураций по принципу active-passive и механизмов мониторинга и переключения между узлами кластера по триггерам.
Возможно ли гибкое разграничение доступа к функциям и хранимым данным?
Да, реализовано гранулярное разграничение ко всем функциям с возможностью создания собственных ролей. Доступ к хранимым данным может регулировать как на уровне видимости отдельных столбцов, таблиц и БД, так и с применением функционала маскирования данных.
У нас нет возможности хранить большой объем логов пользователей, решает ли эту задачу продукт?
Dataplan использует современное хранилище Clickhouse от Яндекс, предназначенное специально для хранения больших данных и работы над ними. Стандартное сжатие данных, позволяет уменьшить объем памяти хранимых данных почти в 4 раза!
Для эксплуатации необходим специалист из области Data Science?
Платформа позволяет проводить анализ данных без привлечения специалистов, владеющих алгоритмами Machine Learning
Поставляются ли в составе xBA наборы готовых профилей поведенческого анализа?
В составе приложения поставляется демонстрационный набор из 20 профилей и датасетов для их работы, чтобы облегчить обучение функциям продукта.
Можно ли поставить продукт на операционную систему Windows?
Нет, на данный момент может быть установлен только на ОС Ubuntu 18.04 и 20.04
У нас изолированный сегмент, сможем ли мы установить и работать с продуктом в таком случае?
Среди проведенных пилотов у Dataplan есть успешный опыт работы в изолированном сегменте.
Сможем ли мы установить Dataplan сами?
Сможете, установка производится с помощью одного скрипта, а так же есть подробные инструкции по установке продукта.
Dataplan можно использовать только как продукт ИБ?
Нет, он может собирать, обрабатывать и агрегировать абсолютно любую информацию, будь это структурированные логи приложений/системы/пользователей, либо неструктурированные серии данных.
Есть ли у продукта внутренний мониторинг?
Да, если что-то пошло не так, Dataplan уведомит о неисправности и покажет ее.
Можно ли установить ваш продукт в качестве контейнера Docker/Kubernetes?
Пока такой возможности нет, но мы работаем над этим.