Поставляется ли в составе продукта преднастроенный контент и какой?
В составе продукта предоставляется набор правил корреляции, дашбордов, шаблонов отчетов и коннекторов. Количество и состав постоянно пополняется за счет использования продукта в ядре услуг SOC наших партнеров. Правила корреляции распространяются через облачное хранилище.
Планируется ли создание функционала активного сканирования ИТ-активов?
Мы планируем, в первую очередь, развивать интеграцию со сторонними сканерами безопасности и системами ITAM/CMDB. Планов по разработке активного сканера пока нет.
Почему Alertix использует агентский сбор событий с конечных хостов, а не безагентский?
При безагентском сборе возможна потеря событий в случае их уничтожения злоумышленником между циклами сбора. При использовании агента значительно снижается нагрузка на сеть за счет сжатия при передаче. Также агентский сбор, за счет делегирования части нагрузки на конечные хосты и возможности фильтрации на стороне агентов, значительно производительнее.
Могу ли я установить платформу Алертикс на Centos?
Нет, работа платформы Алертикс предназначена для функционирования в ОС Ubuntu версии 18.04 LTS Server и выше.
У вас Elastic завернут определенной версии или его можно будет обновлять?
Самостоятельно управлять эластиком и обновлять в продукте нельзя. Используется 7.10 OSS, планируется переход на opensearch (форк от Amazon).
Могу ли я вносить изменения в стандартные парсеры данных и писать свои парсеры?
Вносить изменения в стандартные парсеры нельзя, но вы можете выгрузить файл post_filter.conf и добавить необходимые операции в части парсинга по конкретному хосту или типу источника.
Написать свои парсеры для источников данных вы можете. В этом случае для IP-адреса источника необходимо установить тип Custom, после чего обрабатывать его события через конфигурационный файл post_filter.conf. Для парсеров используется синтаксис конфигурации Logstash!
Как собирать события с конечных хостов Windows, если установка агента Alertix нежелательна?
Вы можете развернуть WEC-коллектор и настроить передачу событий на него. На хосте с WEC устанавливается единственный агент. В скором времени появится версия Alertix, использующая собственный WEC коллектор для этих целей (отдельный ресивер).
Поддерживает ли решение автоматическое распознавание источников событий, подающих данные?
Alertix определяет наличие поступающего потока от конкретных хостов по протоколу syslog, даже если этот источник не добавлен в Платформу. Такие источники могут быть быстро подключены и требуют только ручного выбора коннектора. Автоматического распознавания конкретного источника и применения коннектора не предусмотрено.
Какие поддерживаются способы мониторинга состояния Платформы внешними средствами?
Поддерживается использование резидентного способа (например, zabbix agent) или сбор метрик и логов с использованием API Платформы.
Возможна ли гибкая настройка глубины хранения событий от различных источников и позволяет ли решение осуществлять настраиваемый контроль за поступлением событий?
Для каждого источника в Alertix может быть задана своя длительность хранения и правила архивирования. Кроме того, отдельные индексы можно дополнительно защитить от ротации даже в случае переполнения диска.
Подсистема контроля состояния непрерывно отслеживает поступление событий от источников, если это задано в настройках. Доверенный период отсутствия событий может быть настроен отдельно для каждого источника вплоть до отдельного хоста Windows.
Как лучше лицензировать продукт, по пользователям или по конечным устройствам?
Выбор способа лицензирования всегда зависит от инфраструктуры: в одном случае выгоднее лицензировать конечные устройства, в другом — конкурентные сессии пользователей. Это определяется по данным заполненного клиентского брифа, а еще точнее — по результатам пилота.
Поддерживается ли двухфакторная аутентификация и, если да, то с использованием каких методов?
Да, поддерживается. Рассылка одноразовых паролей и токенов возможна по электронной почте и с использованием внешнего сервиса.
Какие СУБД поддерживаются для проксирования SQL сессий?
Прокси поддерживает широкий спектр самых распространенных СУБД SQL и NoSQLтипов, включая: Oracle, MS SQL, MySQL, PostgreSQL, Cassandra, Teradata, SAP DB и др.
Какие протоколы удалённого доступа поддерживаются?
SFTP, RDP, SSH, VNC, Telnet.
Как система интегрируется в инфраструктуру?
Между пользователями и серверами. Единая точка доступа к системам.
Как можно протестировать систему?
Есть несколько способов: пилот нашими силами, облачный пилот, самостоятельное тестирование через ova-образ. Если планируете самостоятельный тест системы или пилотный тест, свяжитесь с нами по телефону: +7 (495) 269-29-59
У нас нестандартный источник. Его можно подключить?
Продукт был протестирован на множестве источников, в том числе и нестандартных. Да, можно.
Обеспечивается ли отказоустойчивость продукта и каким образом?
Отказоустойчивость обеспечивается за счет кластеризации компонента хранения, СУБД конфигураций по принципу active-passive и механизмов мониторинга и переключения между узлами кластера по триггерам.
Возможно ли гибкое разграничение доступа к функциям и хранимым данным?
Да, реализовано гранулярное разграничение ко всем функциям с возможностью создания собственных ролей. Доступ к хранимым данным может регулировать как на уровне видимости отдельных столбцов, таблиц и БД, так и с применением функционала маскирования данных.
У нас нет возможности хранить большой объем логов пользователей. Решает ли эту задачу продукт?
Dataplan использует современное хранилище Clickhouse от Яндекс, предназначенное специально для хранения больших данных и работы над ними. Стандартное сжатие данных, позволяет уменьшить объем памяти хранимых данных почти в 4 раза.
Для эксплуатации необходим специалист из области Data Science?
Платформа позволяет проводить анализ данных без привлечения специалистов, владеющих алгоритмами Machine Learning.
Поставляются ли в составе xBA наборы готовых профилей поведенческого анализа?
В составе приложения поставляется демонстрационный набор из 20 профилей и датасетов для их работы, чтобы облегчить обучение функциям продукта.
Можно ли поставить продукт на операционную систему Windows?
Нет, на данный момент может быть установлен только на ОС Ubuntu 18.04 и 20.04.
У нас изолированный сегмент. Сможем ли мы установить и работать с продуктом в таком случае?
Среди проведенных пилотов у Dataplan есть успешный опыт работы в изолированном сегменте.
Сможем ли мы установить Dataplan сами?
Сможете, установка производится с помощью одного скрипта, а также есть подробные инструкции по установке продукта.
Dataplan можно использовать только как продукт ИБ?
Нет, он может собирать, обрабатывать и агрегировать абсолютно любую информацию. Это могут быть структурированные логи приложений/системы/пользователей либо неструктурированные серии данных.
Есть ли у продукта внутренний мониторинг?
Да. Если что-то пошло не так, Dataplan уведомит о неисправности и покажет ее.
Можно ли установить ваш продукт в качестве контейнера Docker/Kubernetes?
Пока такой возможности нет, но мы работаем над этим.