Добро пожаловать
в поддержку NGR Softlab!

Компания NGR Softlab осуществляет поддержку следующих публичных версий Alertix:
3.7.х – текущая версия продукта
3.6.х – предыдущая версия продукта
3.2.1 – сертифицированная версия

В составе продукта предоставляется набор правил корреляции, дашбордов, шаблонов отчетов и коннекторов. Количество и состав постоянно пополняется за счет использования продукта в ядре услуг SOC наших партнеров. Правила корреляции распространяются через облачное хранилище.

Мы планируем, в первую очередь, развивать интеграцию со сторонними сканерами безопасности и системами ITAM/CMDB. Планов по разработке активного сканера пока нет.

При безагентском сборе возможна потеря событий в случае их уничтожения злоумышленником между циклами сбора. При использовании агента значительно снижается нагрузка на сеть за счет сжатия при передаче. Также агентский сбор, за счет делегирования части нагрузки на конечные хосты и возможности фильтрации на стороне агентов, значительно производительнее.

Нет, работа платформы Alertix предназначена для функционирования в ОС Ubuntu версий 18.04-22.04 LTS Server. Также поддерживается Astra Linux Special Edition 1.7.

В качестве СУБД и системы поиска по событиям ИБ мы используем OpenSearch. Версия OS обновляется вместе с обновлением Платформы и может незначительно отставать от актуальной. Самостоятельное управление конфигурацией OS и обновление не предусмотрено.

Вносить изменения в стандартные парсеры нельзя, но вы можете выгрузить файл post_filter.conf и добавить необходимые операции в части парсинга по конкретному хосту или типу источника.

Написать свои парсеры для источников данных вы можете. В этом случае для IP-адреса источника необходимо установить тип Custom, после чего обрабатывать его события через конфигурационный файл post_filter.conf. Для парсеров используется синтаксис конфигурации Logstash.

Вы можете развернуть WEC-коллектор и настроить передачу событий на него. На хосте с WEC устанавливается единственный агент. В составе платформы присутствует встроенный WEC ресивер, который не требует лицензии на ОС Windows.

Alertix определяет наличие поступающего потока от конкретных хостов по протоколу syslog, даже если этот источник не добавлен в Платформу. Такие источники могут быть быстро подключены и требуют только ручного выбора коннектора. Автоматического распознавания конкретного источника и применения коннектора не предусмотрено.

Поддерживается использование резидентного способа (например, zabbix agent) или сбор метрик и логов с использованием API Платформы.

Для каждого источника в Alertix может быть задана своя длительность хранения и правила архивирования. Кроме того, отдельные индексы можно дополнительно защитить от ротации даже в случае переполнения диска.

Подсистема контроля состояния непрерывно отслеживает поступление событий от источников, если это задано в настройках. Доверенный период отсутствия событий может быть настроен отдельно для каждого источника вплоть до отдельного хоста Windows.

Вы можете сохранять принимаемые события в сыром виде, выделяя и нормализуя только поле времени без какой-либо другой обработки. Или использовать автоматическое определение полей и приведение к модели данных ECS. Коррелятор позволяет осуществлять поиск в том числе по сырым событиям с использованием Regexp и Wildcard. Это позволяет разрабатывать правила корреляции для любых структур данных.

Платформа позволяет подключить внешнее хранилище на базе Elasticsearch или Opensearch и сделать данные доступными для подсистем визуализации и корреляции. По подключенным данным возможен поиск, динамическое наполнение списков, работа правил корреляции после адаптации под структуру хранения в подключенном хранилище и визуализация.

Да, на уровне ресиверов возможна отправка (пересылка) как в нормализованном виде, так и сырых событий сторонним получателям. Поддерживается отправка в Opensearch / Elasticsearch, Clickhouse, хранилище S3, в файл и по протоколу syslog.

Есть ряд готовых интеграций «из коробки» для отправки с использованием API конечных решений, в том числе в российские IRP / SOAR решения (push). Поддерживается интеграция с любым решением с использованием API Alertix (pull). Кроме того, возможно сохранение информации об инцидентах в файл сразу после обнаружения или отправка с использование webhook.

Alertix предоставляет полнофункциональный Rest API, с помощью которого доступны все функции платформы. Доступ к API требует предварительной аутентификации. Описание API публикуется на каждой инсталляции в swagger UI и обновляется вместе с платформой.

В правилах есть необязательные к заполнению атрибуты привязки к техникам и тактикам MITRE ATT&CK. Все поставляемые «из коробки» правила привязаны к соответствующим техникам и тактикам. На текущий момент степень покрытия базовым набором правил составляет 40% от всех техник MITRE Enterprise v14.1. Более подробную информацию о правилах можно получить в файле по запросу.

Alertix поддерживает установку агента для сбора данных на большинство российских ОС (проверена совместимость с Astra Linux различных исполнений и ALT linux), Для аутентификации и импорта сведений о ресурсах поддерживаются любые LDAP совместимые службы каталогов, в том числе отечественные. Платформа «из коробки» поддерживает интеграцию с RedCheck, XSpider и MaxPatrol для загрузки сведений об уязвимостях и пополнения сведений об ИТ-активах. Из коннекторов к источникам событий Alertix поддерживает более 20 российских решений. Полный перечень поддерживаемых источников может быть предоставлен в файле по запросу.

Срок хранения воркспейсов (подозрений, инцидентов, атак и ложноположительных срабатываний) не ограничен, т. к. их количество и объем информации незначительны в сравнении с объемами хранимых событий. Воркспейсы (все поля) можно выгружать в виде отчетов вручную и по расписанию в табличном виде.

Компания NGR Softlab осуществляет поддержку следующих публичных версий Infrascope:
1.3.2.1 - текущая сертифицированная версия продукта

Выбор способа лицензирования всегда зависит от инфраструктуры: в одном случае выгоднее лицензировать конечные устройства, в другом — конкурентные сессии пользователей. Точно определить, какая схема подойдет наилучшим образом, можно по результатам пилотного проекта.

Да, поддерживается. В качестве второго фактора может использоваться СМС или стороннее приложение для аутентификации.

Без дополнительных настроек Infrascope поддерживает подключение к большому количеству СУБД, среди которых Oracle, MS SQL, MySQL, PostgreSQL, Cassandra, Teradata, SAP HANA и др.

SFTP, RDP, SSH, VNC, Telnet, HTTP/HTTPS.

Infrascope устанавливается “в разрыв” между привилегированными пользователями и целевыми системами, к которым требуется предоставить доступ.

Есть несколько способов: пилотный проект нашими силами, тестирование продукта в нашей инфраструктуре, самостоятельная установка через OVA-образ. Если вы заинтересованы в пробном использовании Infrascope, свяжитесь с нами по телефону: +7 (495) 269-29-59.

Русский и английский.

AD, OpenLDAP, SAPMv2, Radius, TACACS+.

Компания NGR Softlab осуществляет поддержку следующих публичных версий Dataplan:
1.9.1 - текущая версия продукта
1.9.0 - предыдущая версия продукта

Продукт был протестирован на множестве источников, в том числе и нестандартных. Да, можно.

Отказоустойчивость обеспечивается за счет кластеризации компонента хранения, СУБД конфигураций по принципу active-passive и механизмов мониторинга и переключения между узлами кластера по триггерам.

Да, реализовано гранулярное разграничение ко всем функциям с возможностью создания собственных ролей. Доступ к хранимым данным может регулировать как на уровне видимости отдельных столбцов, таблиц и БД, так
и с применением функционала маскирования данных.

Dataplan использует современное хранилище Clickhouse от Яндекс, предназначенное специально для хранения больших данных и работы над ними. Стандартное сжатие данных, позволяет уменьшить объем памяти хранимых данных почти в 4 раза.

Платформа позволяет проводить анализ данных без привлечения специалистов, владеющих алгоритмами Machine Learning.

В составе приложения поставляется демонстрационный набор из 20 профилей и датасетов для их работы, чтобы облегчить обучение функциям продукта.

Платформа успешно функционирует в среде Asta Linux, выполняется тестирование работы в среде Alt Linux.

Dataplan успешно выполняет поиск нарушителей в изолированных сегментах инфраструктур заказчиков.

Сможете, установка производится с помощью одного скрипта, а также есть подробные инструкции по установке продукта.

Нет, он может собирать, обрабатывать и агрегировать абсолютно любую информацию. Это могут быть структурированные логи приложений/системы/пользователей либо неструктурированные серии данных.

Да. Если что-то пошло не так, Dataplan уведомит о неисправности и покажет ее.

Да, компоненты продукта размещаются в Docker-контейнерах.