2. Существующие способы на данный момент
• Пересылка событий по Syslog (TLS) всех, по фильтру или
критичности
• Уведомление по электронной почте по правилу корреляции
• Формирование и отправка событий при срабатывании правил
корреляции
• Запуск скрипта и сценария в корреляции
• Иерархическая структура RuSIEM
• Вариант «только SOC» с установкой коллекторов или нод
хранения на стороне Заказчика с управлением операторами SOC
• Доступ к инцидентам, событиям через API
3
3. Пересылка событий по Syslog
• Plain text или TLS Syslog
• Все или по фильтру (поле, хост, источник, критичность и прочее)
• С учетом RuSIEM симптоматики ®
• В формате: RAW, нормализованные, CEF
4
4. Уведомление по электронной почте
• Пользователям, группам и любым внешним адресам электронной
почты
• Указывается индивидуально в каждом правиле корреляции
5
5. Формирование и отправка событий при
срабатывании правил корреляции
• Текст события указывается индивидуально в каждом правиле
корреляции
• По умолчанию, используются уведомления для пользователей
системы (по группам/пользователям/ролям)
6
6. Запуск скрипта/сценария в корреляции
• Локальный запуск скрипта/команды индивидуально
указываемого для правила
• Содержимое скрипта – любой ваш контент
• Запускается при срабатывании правила корреляции
• Поддерживаются передача переменных с корреляции (например
$host, $src.ip, $user.name)
7
7. Иерархическая структура RuSIEM
• Распределенный поиск по событиям без консолидации событий в
единое хранилище
• Распределенная корреляция без консолидации событий
• Использование многоуровневой модели с разными периодами
хранения, своими правилами корреляции
• Связанные и не связанные уровни модели
• Удаленное управления нодами из единой консоли
8
9. Вариант «только SOC»
• У Заказчика устанавливаются только ноды для сбора и(или)
хранения событий
• Управление осуществляется только с SOC
• Доступ к управлению нодами Заказчика может быть ограничен
для персонала SOC и предоставляется только доступ к событиям
10
11. Доступ к инцидентам, событиям через API
• Управление настройками нод удаленно из единой консоли
• Управление любыми разделами удаленно
• Полное управление инцидентами, симптоматикой, правилами
корреляции удаленно
• Аутентификация и авторизация через токены и ролевую модель
12
12. Контактная информация:
Сайт : https://www.rusiem.com
Новости в телеграм: https://t.me/rusiem
Фейсбук: https://www.facebook.com/rvsiem
Инфо: support@rusiem.com
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
13