CorreLog SIEM Корреляционный сервер

CorreLog Server - это флагманский продукт компании, содержащий основные функциональные возможности для реализации оптимального функционирования SIEM вашего предприятия.

В решение входят высокоскоростной сборщик сообщений, индексированная поисковая система, расширяемая панель инструментов, средства отчетности, тикеты и уникальный механизм корреляции. Его простота и мощь устанавливают новые ориентиры для промышленности. CorreLog SIEM Server предоставляет основанный на стандартах метод сбора всех сообщений системного журнала вашей сети с использованием протокола системного журнала и прерываний SNMP. После сбора эти сообщения соотносятся с угрозами, оповещениями и действиями с использованием сложных (но легко настраиваемых) правил и превращаются в действенные «тикеты». Дальше “тикеты”  отправляются пользователям и могут автоматически исправлять инциденты. Сервер SIEM предоставляет специальное приложение для мониторинга безопасности вашего предприятия и предоставляет множество специальных функций для поддержки : шифрование данных, готовые к запуску правила корреляции и программное обеспечение для туннелирования TCP.

Другие функции CorreLog, включая управление производительностью, анализ деловой информации и анализ файлов журнала, также поддерживаются в продукте.

Ключевые характеристики

• Сервер CorreLog SIEM специально разработан для использования возможностей существующей инфраструктуры, не требуя обширной установки агентов или другого программного обеспечения. Программа рассчитана на высокую емкость, агрегацию сообщений масштаба предприятия, простоту навигации, расширяемость и высокую внутреннюю безопасность — все поставляется через единую веб-консоль.

• Высокоскоростной прием сообщений. CorreLog SIEM подходит для работы в качестве одного приемника SNMP Trap и Syslog для всех устройств в сети крупных предприятий. CorreLog SIEM может обрабатывать более 2000 сообщений в секунду и пакетный трафик более 10 000 сообщений в секунду (в зависимости от поддерживаемого оборудования.) CorreLog SIEM отслеживает и каталогизирует устройства в сети без жесткого верхнего предела. Вы можете получать сообщения из практически неограниченного количества источников.

• Высокоскоростная корреляция сообщений. CorreLog SIEM использует усовершенствованный механизм корреляции, который выполняет семантический анализ сообщений в режиме реального времени. Система использует потоки корреляции, счетчики корреляции, оповещения и триггеры корреляции, которые уточняют и сводят сообщения к легко воспринимаемой информации.

• Гибкая отчетность. CorreLog SIEM включает в себя различные средства отчетности, в том числе средство отчетности на основе Excel, которое заполняет электронные таблицы сводной и подробной информацией о событиях, а также средство отчетности ODBC — заполняет одну или несколько баз данных информацией отчета для поддержки отчетов сторонних разработчиков.
  Кроме того, CorreLog SIEM включает в себя комплексную панель инструментов, анализатор журналов Pivot (для анализа данных брандмауэра, журналов HTTP-сервера и других данных), комплексные утилиты для построения графиков. Сервер CorreLog поставляется с предварительно настроенными отчетами о соответствии и правилами корреляции для поддержки этих отчетов.

• Функции агрегирования и архивирования данных. Система CorreLog SIEM может собирать огромные объемы данных. Она может собирать свыше 1 гигабайта данных каждый день на одном сайте и сохранять эти данные в сети до 500 дней (при наличии свободного пространства).
  Кроме того, CorreLog SIEM сжимает и архивирует ваши данные, сохраняя их в течение более 10 лет (5000 дней). Для помощи в криминалистике и долгосрочном анализе CorreLog SIEM генерирует архивные данные, такие как контрольные суммы MD5 и коды безопасности.

• Возможность поиска данных. Одной из важнейших функций системной программы CorreLog SIEM является возможность поиска. CorreLog SIEM использует свою собственную программу GenDex (Generate Data Extraction) для высокоскоростной системы индексирования в реальном времени. Это позволяет осуществлять быстрый поиск по огромным объемам данных. Производительность этого движка конкурирует с самыми быстрыми поисковыми системами, доступными в настоящее время. Пользователи могут найти нужное сквозь терабайт данных по определенному ключевому слову менее чем за одну секунду.

• Функции таксономии и каталога. Таксономия и категоризация данных находятся в центре уникальной системы корреляции CorreLog. Сервер каталогизирует информацию по IP-адресу, имени пользователя, средствам обслуживания и серьезности. Пользователи могут дополнительно создавать каталоги информации на основе простых или сложных шаблонов соответствия.
  Данные каталогизируются на основе спецификаций, состоящих из простых ключевых слов, подстановочных знаков и регулярных выражений, логических выражений подстановочных знаков, макроопределений регулярных выражений и логических комбинаций макросов. Это обеспечивает максимальную гибкость в управлении и группировании данных сообщений, сохраняя при этом высокую пропускную способность, без трудностей нормализации данных

• Входная фильтрация. Чтобы уменьшить загрузку данных и обеспечить точный контроль над входящими сообщениями, CorreLog SIEM может фильтровать входные данные по устройству, средствам, серьезности, ключевому слову сообщения, времени суток или любой их комбинации. Отфильтрованные данные могут быть отброшены или помещены в отдельный репозиторий для дальнейшего анализа или экспертизы. Когда данные фильтруются, они автоматически помечаются определенным выражением фильтра.

• Автоматическое исправление и реагирование на инциденты. Система CorreLog SIEM включает в себя простую и расширяемую функцию «Действия», которая позволяет вам задавать конкретные сообщения на основе устройства, ключевого слова, средства, времени суток и запускать программы на этих данных. В состав CorreLog SIEM входят служебные программы для обновления реляционных баз данных ODBC, ретрансляции сообщений системного журнала, отправки прерываний SNMP, отправки электронной почты и выполнения других действий.

• Веб-конфигурация. CorreLog SIEM полностью веб-ориентирован. Все действия, включая создание логинов и разрешений, полностью выполняются без встроенной консоли. Это означает, что администратору обычно не требуется доступ к платформе CorreLog Server, за исключением редких случаев запуска или завершения процесса. Расположение сервера CorreLog может быть размещено в Центре сетевых операций (NOC) или в защищенном шкафу.

• Комплект утилит. Система CorreLog Server включает в себя набор утилит Win32 в одном небольшом пакете, который легко устанавливается на серверах Windows Vista, XP или Windows 2000. Эти утилиты распространяются бесплатно и значительно расширяют возможности управления сервером.