MONT и партнеры
@komandamont
RuSIEM + Смарт-Софт: как интеграция усиливает безопасность
Когда нужно усилить безопасность инфраструктуры, один из вариантов — интеграция двух ИБ-систем. Мы поговорили с Алексеем Прокопчуком, руководителем группы разработки Traffic Inspector Next Generation, о том, почему и как работает связка двух российских решений и какую пользу она принесет бизнесу.
Почему было решено запустить интеграцию RuSIEM и Traffic Inspector Next Generation?
Решение закономерное. Во-первых, растёт запрос от общих заказчиков, которые хотят консолидировать системы безопасности. Во-вторых, это часть нашей стратегии развития Traffic Inspector Next Generation (TING). Мы движемся к открытости и глубокой интеграции с ключевыми элементами отечественной ИБ-экосистемы, чтобы предлагать клиентам готовые мощные связки.
Как связка TING и RuSIEM позволяет обнаружить атаку быстрее?
Здесь работает принцип синергии. TING как межсетевой экран следующего поколения (NGFW) контролирует весь трафик на периметре сети, блокирует угрозы и фиксирует подозрительные действия. RuSIEM выступает «мозговым центром», который коррелирует события из десятков источников.
Как внедрить интеграцию?
Процесс состоит из двух этапов:
Настройка обмена данными. На стороне TING настраивается отправка событий по протоколу Syslog. В RuSIEM добавляется TING как источник событий. Это базовая задача для технического специалиста.
Создание правил корреляции. В RuSIEM настраиваются правила, которые «учат» систему понимать события от TING и связывать их с другими данными.
Весь процесс обычно занимает 3 дня.
Какая практическая польза для компании после внедрения?
Ключевое преимущество — радикальное сокращение времени реакции на сложные атаки.
Есть ли кейсы на рынке?
Мы (Смарт-Софт) находимся на старте совместного пути с RuSIEM по продвижению этой интеграции. Сейчас готовим совместные вебинары для заказчиков и партнёров, чтобы познакомить рынок с возможностями связки.
Планируете ли другие интеграции?
Проблема «зоопарка» ИБ-решений у заказчиков сегодня одна из самых болезненных. Компании годами накапливали точечные решения, которые не «разговаривают» друг с другом. Наша стратегия направлена как раз на решение этой проблемы.
Интеграция с RuSIEM — не единственный шаг. У нас уже есть технические интеграции с антивирусом Касперского, NetPolice, Криптоком, рядом DLP-систем, Astra Linux и другими ведущими отечественными платформами. В ближайшее время будем готовы анонсировать новые совместные решения.
#ИБ
Когда нужно усилить безопасность инфраструктуры, один из вариантов — интеграция двух ИБ-систем. Мы поговорили с Алексеем Прокопчуком, руководителем группы разработки Traffic Inspector Next Generation, о том, почему и как работает связка двух российских решений и какую пользу она принесет бизнесу.
Почему было решено запустить интеграцию RuSIEM и Traffic Inspector Next Generation?
Решение закономерное. Во-первых, растёт запрос от общих заказчиков, которые хотят консолидировать системы безопасности. Во-вторых, это часть нашей стратегии развития Traffic Inspector Next Generation (TING). Мы движемся к открытости и глубокой интеграции с ключевыми элементами отечественной ИБ-экосистемы, чтобы предлагать клиентам готовые мощные связки.
Как связка TING и RuSIEM позволяет обнаружить атаку быстрее?
Здесь работает принцип синергии. TING как межсетевой экран следующего поколения (NGFW) контролирует весь трафик на периметре сети, блокирует угрозы и фиксирует подозрительные действия. RuSIEM выступает «мозговым центром», который коррелирует события из десятков источников.
Например, TING заметил подозрительную попытку связи с внешним ресурсом. RuSIEM мгновенно получает это событие, сопоставляет его с тревогой от антивируса на рабочей станции и успешным несанкционированным доступом. Вместо трёх разрозненных событий аналитик видит один готовый инцидент: «Подтверждённая компрометация». Так связка выявляет сложные многоэтапные атаки почти в реальном времени.
Как внедрить интеграцию?
Процесс состоит из двух этапов:
Настройка обмена данными. На стороне TING настраивается отправка событий по протоколу Syslog. В RuSIEM добавляется TING как источник событий. Это базовая задача для технического специалиста.
Создание правил корреляции. В RuSIEM настраиваются правила, которые «учат» систему понимать события от TING и связывать их с другими данными.
Весь процесс обычно занимает 3 дня.
Какая практическая польза для компании после внедрения?
Ключевое преимущество — радикальное сокращение времени реакции на сложные атаки.
Пример: злоумышленник получил доступ к компьютеру сотрудника. TING фиксирует редкие SSL-соединения за пределы РФ в нерабочее время. RuSIEM сопоставляет это с успешным логином в корпоративную базу и попытками доступа к файловому хранилищу. Вместо трёх разрозненных событий с низким приоритетом аналитик сразу видит один инцидент с высоким приоритетом: «Подозрение на утечку данных». Это позволяет начать расследование через минуты, а не через дни.
Есть ли кейсы на рынке?
Мы (Смарт-Софт) находимся на старте совместного пути с RuSIEM по продвижению этой интеграции. Сейчас готовим совместные вебинары для заказчиков и партнёров, чтобы познакомить рынок с возможностями связки.
Планируете ли другие интеграции?
Проблема «зоопарка» ИБ-решений у заказчиков сегодня одна из самых болезненных. Компании годами накапливали точечные решения, которые не «разговаривают» друг с другом. Наша стратегия направлена как раз на решение этой проблемы.
Интеграция с RuSIEM — не единственный шаг. У нас уже есть технические интеграции с антивирусом Касперского, NetPolice, Криптоком, рядом DLP-систем, Astra Linux и другими ведущими отечественными платформами. В ближайшее время будем готовы анонсировать новые совместные решения.
#ИБ
🔥 11
👍 4
10 1K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram