Infigo SIEM (Security Information and Event Management), najjednostavnije rečeno, je vaša najbolja šansa da vidite sve što se događa u vašem sustavu. Svaki uređaj na vašoj mreži generira neki oblik podataka – ne razmišljajte samo o računalima i mrežnom hardveru, nego i o softveru te raznoraznom hardveru poput pametnih brava i, u svijetu IoT-a, čak i pametnih aparata za kavu.
Infigo SIEM prikuplja sve te podatke, obrađuje ih u stvarnom vremenu i prolazi kroz set scenarija kako bi otkrio što se događa. Dnevno se na vašoj mreži generiraju milijuni događaja, tako da moramo biti pametni kako ih unosimo i filtriramo; ako netočno filtrirate podatke gubite popunu vidljivost.
Razvili smo naš SIEM na Splunku, najboljoj platformi za velike setove podatke, koja nam omogućuje da unesemo gotovo neograničene količine podataka, obradimo ih kako smatramo prikladnim, a zatim da naši prilagođeni scenariji odluče što se događa. Snaga Splunka također nam je omogućila izradu širokog spektra izvješća koje koriste sigurnosni analitičari, izvršni direktori, CISO-i, regulatori ili bilo koji dionici kako bi dobili relevantne i pravovremene informacije.
Više o SIEM-u saznajte u brošuri.
Infigo SIEM napravljen je na big data platformi i može prikupljati podatke iz svakog mogućeg izvora. Čak i ako ne postoji automatski način za uvlačenje podataka, Infigo IS izrađuje svoje importere jer svaki podatak može biti presudan. Najbolje od svega je što je naš SIEM izuzetno skalabilan tako da može uvući od par logova pa do njih milijun bez bilo kakvih problema i s minimalnim utjecajem na cijelu mrežu. Svi uvučeni podaci mogu se pohraniti u skladu s pravilima o zadržavanju podataka i mogu se preuzeti za daljnju provjeru ako se ukaže potreba. Naravno, sve je moguće prilagoditi politikama i procedurama organizacije.
Mnogi današnji SIEM-i filtriraju podatke na najneprirodniji način, mičući velik dio njih pri uvlačenju. Mi se jako protivimo takvoj praksi – automatskim odbacivanjem podataka gubite važne stvari na duge staze. Naš način, točan način, oslanja se na višefazno obogaćivanje; mi provlačimo podatke kroz više faza i na svakoj fazi obogaćujemo podatke (ovisno o fazi to se radi kroz razne izvore podataka, neke interne, neke eksterne). Nakon što su podaci obogaćeni i obrađeni, onda se tek miču događaju koji nemaju važnost. Na taj način osiguravamo da se sustav ne uguši u nepotrebnim podacima, no ujedno zadržavamo sve one relevantne.
Uzbunjivanje je veliki dio funkcionalnosti SIEM-a. Infigo SIEM koristi dvije vrste uzbuna – prema rasporedu ili u stvarnom vremenu. Sa uzbunama po rasporedu mi preciziramo uvjete koji se moraju dogoditi kako bi se uzbuna aktivirala, ali se sve odvija po rasporedu. U stvarnom vremenu upozorenje se aktivira kad se zadovolje uvjeti s pretraživanjem koje se odvija kontinuirano. Dakako, u praksi to je sve puno kompliciranije, s klasifikacijom upozorenja, prilagođenim bodovanjem rizika, pragovima koji se prilagođavaju strojnim učenjem, ali bilo koje upozorenje koje se dogodi može se vidjeti u tzv. konzoli upozorenja i/ili poslati na email ili kroz ticketing sustav po izboru.
Korelacije
Više od stotinu scenarija radi u pozadini kako bi osigurali sigurnost vašem sustavu. Infigo SIEM pretvara sirove podatke u korisne i iskoristive informacije. Glavni cilj korelacije je povezati međusobno neovisne izvore podataka prema zajedničkim karakteristikama kako bismo dobili red iz kaosa.
Obogaćivanje
Obogaćivanje je posebno važno za Infigo SIEM. Zbog toga koristimo svaki mogući korak kako bismo dali značaj našim podacima – koristimo interne (npr. podatke iz ljudskih resursa) i vanjske podatke (npr. broje threat intelligence izvore) jer svaka informacija nema jednaku važnost. To nije jednostavno za napraviti, ali da je lagano, svi bi to radili.
Istraga incidenata
Što god se dogodilo, uvijek postoji cjelovit i detaljan prikaz svakog incidenta koji je zabilježen. Analitičari mogu započeti s pregledom na visokoj razini putem specijalno dizajniranih dashboarda i sa samo jednim klikom napraviti drill-down do izvornog loga. Postoji i mogućnost pisanja vlastitih pretraga koje mogu obuhvatiti sve podatke otkad je logiranje počelo.
Izvještavanje
Različiti stakeholderi SIEM-a dobivaju različite izvještaje ovisno o njihovim potrebama – od sigurnosnih stručnjaka preko službenika za usklađenost pa do izvršnih direktora, svi mogu imati korist od pravovremenog izvješća. Izvješća mogu biti automatska, ad-hoc ili planirana, a mogu biti poslana kao email poruka ili kroz ticketing sustav. Dakako, svaki izvještaj može biti modificiran i prilagođen.
Vizualizacije
S bogatim i prilagodljivim grafičkim sučeljem lako je dobiti brzi uvid u relevantne događaje. Dashboardi mogu predstaviti kompleksne pretrage kroz jasne grafičke oblike i učiniti bilo koju istragu i pregled događaja dostupnom širokom krugu korisnika – vizualizacije se mogu pretvoriti u izvješća tako da i korisnici koji nemaju pristup SIEM-u mogu dobiti korisne informacije.
Web bazirano sučelje
Korisnici mogu pristupiti Infigo SIEM-u kroz web bazirano sučelje koristeći bilo koji moderni internetski preglednik bez bilo kakvog dodatnog instaliranja komponenti što rasterećuje IT podršku. Sučelje ima kontrolu pristupa zasnovanu na ulogama jer svaki korisnik ne treba imati pristup istim informacijama; podržava internu autentikaciju, LDAP, single sign-on i skriptnu autentikaciju za povezivanje vanjskih sustava.
Integracija
Infigo SIEM izvrsno surađuje s ostatkom vašeg sustava – bez obzira na druge mrežne komponente, naš SIEM će se s njima besprijekorno integrirati. Može unijeti široki spektar podataka, ljudski ili strojno generiranih, a Infigo IS će napisati prilagođene importere za starije komponente koji drugi proizvođači često preskaču. Mi vjerujemo u potpunu uslugu.
Redundancija i visoka dostupnost
Infigo SIEM može se konfigurirati za redundanciju i visoko dostupna okruženja; load balancing za brze podatkovne pretrage, replikacija indeksa (uz prilagodbu prema lokalnom indeksiranju i pohrani), distribuirane pretrage, sve to ovisi o potrebama klijenta.
