Opis
SecureVisio SIEM
SecureVisio wyposażono w zaawansowane, wydajne mechanizmy zbierania i przechowywania informacji o zdarzeniach z całej infrastruktury IT. System umożliwia gromadzenie logów za pośrednictwem protokołu syslog, mechanizmu Windows Event Forwarding, interfejsów API, odczyt danych z plików tekstowych, baz danych a nawet skrzynek pocztowych. Zastosowanie bazy danych opartej na plikach płaskich pozwoliło na uzyskanie bardzo wysokiej wydajności. Wbudowane, automatyczne mechanizmy archiwizacji umożliwiają długotrwałe, centralne lub rozproszone, przechowywanie danych na wskazanej przez administratora przestrzeni dyskowej.
Mechanizmy parsowania
System wyposażono w stale uzupełniany zestaw parserów zdarzeń dla różnych rodzajów źródeł. Mechanizmy parsowania regex, xml, json, parsowanie warunkowe i podrzędne oraz graficzny interfejs tworzenia parserów wraz z wbudowanym debuggerem to potężne narzędzia, które są w stanie przetworzyć i znormalizować dane z dowolnego źródła. Zgromadzone dane dzięki procesowi normalizacji stają się informacjami, które mogą być przeszukiwane i przetwarzane.
Unikalny zestaw możliwości
System wyposażono w automatyczne mechanizmy korelacji zdarzeń i stale rozwijany zestaw reguł korelacyjnych opartych między innymi na matrycy MITRE ATT&CK. Zaawansowany, niezwykle elastyczny silnik korelacyjny wyposażono w unikalny zestaw możliwości:
-
Tworzenie zdarzeń na podstawie innych zdarzeń;
-
Tworzenie incydentów na podstawie zdarzeń;
-
Nadawanie priorytetów w zależności od kontekstu;
-
Mechanizm scoringowy uzależniony od profili zasobów;
-
Tworzenie i odwoływanie się do tablic referencyjnych;
-
Uwzględnianie w korelacji kontekstu zasobów związanych ze zdarzeniami (typ zasobu i jego rola w organizacji, zagrożone procesy techniczne i biznesowe, rodzaj przetwarzanych danych, potencjalne konsekwencje incydentu, wektory ataku, wyniki analizy ryzyka);
-
Graficzny interfejs do tworzenia reguł korelacji.