Сегодня SIEM стал стандартным инструментом для выявления инцидентов ИБ в режиме реального времени. Для снижения рисков в современных условиях недостаточно использования классических СЗИ. Для выявления целенаправленных, отложенных атак, инсайдерской деятельности, нарушения политик информационной безопасности и требований регуляторов необходимо решение класса SIEM, дополненное инструментами, повышающими скорость и качество выявления, расследования и предотвращения инцидентов, а также штат аналитиков ИБ, специализирующихся на этих задачах.
Одна из таких SIEM-систем – Alertix. Обзор этого продукта специально для портала Cyber Media подготовила компания NGR Softlab.
Что такое Alertix? Alertix – SIEM-система для поиска, сбора и обработки данных ИТ- и ИБ-инфраструктуры. Кроме того, решение может быть использовано как платформа с набором инструментов, достаточных для построения процессов SOC. Для продукта регулярно выходят обновления, направленные, например, на усовершенствование ее основных функций, увеличение производительности и снижение нагрузки на клиентскую инфраструктуру. Исторически Alertix сформировался в ядре коммерческого поставщика услуг SOC, что гарантирует отличное соотношение эффективности и затрат на эксплуатацию. Alertix может быть использован в целях управления журналами ИТ-систем (LM), ИТ- и ИБ-мониторинга (SOC, NOC), построения и контроля ресурсно-сервисных моделей, поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных. В дополнение к основному функциональному ядру Alertix предлагаются приложения, обеспечивающие снижение трудозатрат на рутинные операции, учет и контроль.
Основные сценарии применения Alertix: Мониторинг событий ИБ Alertix позволяет без приобретения и внедрения дополнительных средств обеспечить базовый процесс выявления, расследования, учета инцидентов и уведомления регуляторов.
Фильтрация потока событий Платформа может использоваться в дополнение к внедренной SIEM, снижая его лицензируемые параметры, предварительно фильтруя и обрабатывая поток событий.
Импортозамещение иностранного SIEM Решение включено в реестр отечественного ПО и подходит под программу импортозамещения.
Замена нерабочего SIEM Позволяет заменить решения, для которых требуется дорогостоящая редкая компетенция.
Продукт поставляется как программное обеспечение с перманентной или временной лицензией. При продлении лицензии клиент, по сути, платит за техподдержку, само решение функционирует без ограничений по срокам. Доступна отдельная схема лицензирования для MSS-провайдеров.
Ключевые преимущества Alertix:
Встраивается в любую инфраструктуру: высокая гибкость и возможности интеграции.
Непрерывно совершенствуется за счет использования MSS провайдером услуг SOC.
Позволяет обеспечить все базовые процессы мониторинга ИБ одним решением.
Не требует больших усилий и вложений в персонал для поддержания уровня доступности 99% и выше.
Входит в реестр отечественного ПО.
Бессрочная лицензия ─ продукт будет работать без продления поддержки, однако перестанет получать обновления ПО, баз правил выявления и коннекторов.
Базовая лицензируемая метрика – «чистый» EPS. За счет длительного периода усреднения и учета событий уже после фильтрации значение лицензируемого параметра обычно ниже, чем у конкурирующих решений.