RuSIEM

Для чего?

Возможности:

• Отправка предупреждений на основе предопределенных настроек.
• Создание отчетов и логирование для упрощения аудита.
• Просмотр данных на разных уровнях детализации

Как это работает?

RuSIEM состоит из двух ключевых программных модулей: агента и основной (серверной) части.

Агент собирает данные с рабочих станций и серверов. Несмотря на своё название, агент может собирать события не только посредством локальной установки на конечное устройство, но и удалённо из множества источников безагентским методом. Для этого имеются универсальные транспорты. Канал связи между агентом и сервером зашифрован, а в случае отсутствия соединения агент может временно хранить события в офлайне.

Модуль серверной части отвечает за приём событий напрямую из Syslog-источников и имеет отказоустойчивую архитектуру. Это означает, что сервера события будут сохранены на диске и впоследствии обработаны, так что ни одно событие не может пропасть.

Системные требования и установка:

Для небольших компаний: установка в виде одной совмещённой ноды: основной компонент +хранилище.

Для средних компаний: установка в виде одной ноды основного компоненты и отдельного хранилища.

Для организаций среднего размера, расположенных в разных городах: установка в виде одной ноды основного компонента с отдельным хранилищем в центральном подразделении и в виде отдельных нод основных компонентов в удалённых офисах.

Для крупных организаций: установка в виде разнесённых модулей основного компонента на одной ноде и отдельного хранилища.

Системные требования:

Особенности:

• Архивация между агентом и SIEM;
• Архивация;
• Модуль активов;
• Наличие динамических списков;
• Встроенный функционал-sysmon;
• Управление событиями;
• Парсинг;
• Сбор системной информации.