14 марта 2022 г.
Алертикс — универсальный инструмент сбора и обработки данных, поиска и автоматического сигнатурного обнаружения нежелательных событий или их комбинаций, а также визуализации динамики и значений хранимых данных. Алертикс может быть использован в целях управления журналами ИТ систем (LM) ИТ и ИБ мониторинга (SOC, NOC), построения и контроля ресурсно-сервисных моделей, поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных. В дополнении к основному функциональному ядру Алертикс предлагаются приложения, обеспечивающие снижение трудозатрат на рутинные операции, учет и контроль.
Решаемые задачи и сценарии применения
Соответствие требования регуляторов:
* уведомление регуляторов об инцидентах
* выполнение требований законодательства в области КИИ
* выполнение требований стандартов для финансовых организаций
Сбор, обработка и хранение событий:
* разбор (парсинг) значимых полей
* хранение с использованием сжатия
* обогащение и нормализация событий
Учет ИТ активов и инцидентов:
* учет инвентаризационной информации об информационных активах
* учет и управление жизненным циклом атак и инцидентов ИБ
Автоматическое выявление и расследования:
* быстрый полнотекстовый поиск
* настраиваемая визуализация
* риск-скоринг и настраиваемая приоритезация
Децентрализация хранения данных позволяет обеспечить:
* геораспределенное исполнение с сохранением централизованного управления и мониторинга;
* неограниченное наращивание производительности: каждый кластер способен
обработать до 30k EPS (Event per second) пикового входящего потока, при увеличении потока просто добавьте data-cluster и receiver.
Гибкие возможности масштабирования, обеспечения отказоустойчивости, распределения компонентов и простого быстрого обновления обеспечиваются за счет применения контейнеризации.
Примените иерархическое взаимодействие отдельных самостоятельных инсталляций Алертикс в центральном офисе и филиалах: ответственные на местах могут работать с инцидентами, обслуживать и администрировать свою инсталляцию, специалисты в центральном офисе контролировать эффективность, формировать отчеты и обладать единой картиной состояния ИБ в филиалах.
Алертикс обладает модульной архитектурой, поддерживает широкие возможности интеграции с IRP\SOAR\SD системами и средствами коммуникации (почтовыми серверами, Telegram, Mattermost и т.д.). Способен принимать события от более чем 100 источников событий российских и зарубежных производителей СЗИ, сетевого оборудования, прикладных бизнес-систем.
Модули Алертикс:
Подсистема приема и обработки входящих событий (Receiver) осуществляет прием, фильтрацию, парсинг и обогащение событий от источников. Поддерживается более 100 источников российских и зарубежных производителей.
Подсистема хранения на основе нереляционной СУБД (Data cluster) осуществляет хранение событий (как сырых, так и результатов парсинга) с применением сжатия и действительно быстрый полнотекстовый поиск и поиск по отдельным полям событий.
Консоль визуализации и поиска – инструмент, обладающий богатыми возможностями по визуализации данных, позволяющий создавать наглядные дашборды. Обеспечивает разграничение доступа к данным, в том числе с поддержкой аутентификации в MS Active Directory.
Подсистема автоматизированного поиска признаков инцидентов (Signal) – механизм поиска по поступающим событиям сигнатурного типа на основе гибких правил.
Поддерживаются цепочки, исключения и динамический риск-скоринг обнаружений с использованием данных о критичности ИТ-актива.
Подсистема управления – центральная консоль администратора платформы и приложения, повышающая эффективность процессов аналитиков ИБ.
Агенты конечных узлов (Alertix agent) – централизованно управляемые легковесные приложения, используемые для упаковки и доставки событий ОС Windows и Linux в платформу. При использовании дополнительных драйверов позволяют осуществлять регистрацию событий уровня EDR решений.
Преимущества Алертикс:
* Комплексность решения: функционал LM, SIEM, учет инцидентов, учет активов;
* Возможность взаимодействия с НКЦКИ в части регистрации инцидентов в ЛК ГосСопка;
* Встраивается в любую инфраструктуру: высокая гибкость и возможности интеграции;
* Непрерывно совершенствуется за счет использования в MSSP исполнении;
* Не требует больших усилий и вложений в персонал для поддержания уровня доступности 99% и выше;
* Не зависит от курса доллара, не облагается НДС - российское ПО;
* Лицензия является перманентной и включает 1 год поддержки вендора;
* Базовая лицензируемая метрика – «чистый» EPS, платите только за те события, которые необходимо хранить.
Ссылки:
Вендор: NGR Softlab
Продуктовая категория:
Источник: NGR Softlab
На правах рекламы.