TIBCO LogLogic

Система TIBCO LogLogic предназначена для сбора, глубокого анализа и визуализации событий безопасности, сгенерированных сотнями ИТ- систем современной организации.

Система сбора, анализа и визуализации событий безопасности TIBCO LogLogic была создана на основе SIEM-системы LogLogic и системы бизнес-аналитики и визуализации TIBCO Spotfire.

Такая интеграция позволяет не только собирать и архивировать большие объемы информации об ИТ-событиях, что умеют все стандартные SIEM-системы, но также и использовать эти данные для более серьезных задач служб ИТ и ИБ.

Так, TIBCO LogLogic используется для построения глобальных систем мониторинга и ситуационных центров ИБ (Security Operations Center ─ SOC), предсказательной аналитики и интеллектуального анализа событий ИБ и ИТ (Data Mining), а также интуитивного отображения происходящих процессов и собираемых данных.

Система TIBCO LogLogic позволяет предоставить доступ к данным в режиме реального времени на любых платформах ─ ПК, мобильных устройствах и через веб-браузеры.

Модули TIBCO LogLogic позволяют строить сложные отчеты в режиме реального времени, следить за подозрительной сетевой активностью и аномальными транзакциями СУБД, расследовать инциденты информационной безопасности, архивировать события для долгосрочного хранения, аудита и соответствия регуляторным требованиям.

Архитектура и работа системы LogLogic SIEM

Архитектура LogLogic SIEM строится на принципе "Собирай. Смотри. Используй", который отражает полный цикл использования SIEM-систем: от сбора событий, их использования в текущей работе, и до их долговременного хранения.

Особый движок индексирования логов позволяет в течение нескольких секунд осуществить поиск по всему массиву событий, произошедших за последние 90 дней, а также значительно ускоряет поиск более старых событий.

Благодаря интегрированной архитектуре развертывание системы LogLogic SIEM занимает значительно меньше времени, чем у аналогичных решений, а специалисты и партнеры компании Тайгер Оптикс поделятся наработками по установке и эксплуатации системы, помогут разработать системные оповещения, правила и отчеты, полезные для конкретного заказчика.

Варианты поставки и модули системы

LogLogic SIEM поставляется как в виде готового устройства, так и в виде виртуального устройства, готового к развертыванию на собственной инфраструктуре заказчика.

LogLogic SIEM является модульной системой, состоящей из следующих частей:

  • LogLogic MX: готовое решение для малого и среднего бизнеса
  • LogLogic ST: долгосрочное хранение событий
  • LogLogic SEM: корреляция и оповещение о событиях ИБ
  • LogLogic LX: моментальный поиск событий
  • Регуляторное соответствие: пакеты для обеспечения регуляторного соответствия PCI DSS, ISO 27001/ ISO 27002, ITIL, COBIT, SOX и др.
  • Database Security Manager. Активный мониторинг и обнаружение уязвимостей баз данных

LogLogic ST: долгосрочное хранение событий

Компонент LogLogic ST реализует шаг "Собирай" и позволяет сохранять информацию о произошедших событиях в ИТ-системах в течение 10 лет.

Входящий поток событий анализируется и классифицируется, позволяя оперативно осуществлять поиск по сложным параметрам и строить отчеты на всем массиве данных без длительных задержек, присущих аналогичным системам.

Открытая архитектура компонента LogLogic ST позволяет интегрировать его с аналитическими системами сторонних производителей, позволяя более глубоко понять состояние ИТ-инфраструктуры организации.

LogLogic SEM: корреляция и оповещение

LogLogic SEM является центральным компонентом решения по сбору и корреляции событий, реализуя шаг "Смотри".

LogLogic SEM позволяет идентифицировать даже наиболее изощренные и замаскированные атаки и сохраняет все данные для полного исторического анализа произошедшего.

По умолчанию LogLogic SEM будет оповещать о переборах паролей, вирусных эпидемиях, DoS-атаках, взломе паролей и др., коррелируя десятки параметров, в том числе географическое положение, например, сопоставляя активную VPN- сессию пользователя и одновременный вход в помещение по смарт-карте этого же сотрудника в другом географическом регионе.

LogLogic LX: моментальный поиск событий

Компонент LogLogic LX является основой шага "Используй".

Данный компонент позволяет отчитываться о соответствии стандартам, проводить расследования недавних инцидентов, выявлять причины случившихся сбоев и оптимизировать текущие ИТ-операции.

LogLogic LX хранит события, произошедшие с системами, учетными записями и данными за последние 90 дней в формате, пригодном для моментального поиска и отображения.

Компонент включает в себя готовые отчеты, которые могут быть настроены для отображения информации, требуемой в конкретной ситуации, а поиск по индексированным событиям напоминает использование Google - все просто, понятно и очень быстро.

LogLogic MX: решение для малого и среднего бизнеса

LogLogic MX представляет собой готовое устройство, выполняющее полный цикл функций сбора, хранения и анализа событий, построения отчетов и оповещения об инцидентах, которое может быть оперативно развернуто и запущено в малых и средних организациях, без компромиссов в полноте . функционала.

Преднастроенные политики безопасности и автоматическое распознавание устройств позволят эффективно работать с решениемв условиях ограниченных человеческих финансовых ресурсов, получая полезный результат от внедрения и автоматизируя максимальное число рутинных задач

Дополнительные материалы