Простое решение сложных задач
Назначение приложения
Варианты реализации
Модульная архитектура
CoreОсновной модуль системы. Включает в себя Smart Monitor Engine, модель индикаторов, "Мастер оповещений" - средство быстрого создания оповещений пользователей при возникновении нештатных ситуаций. Оповещения могут отправляться по электронной почте, SMS, Telegram и прочее. На базе ресурсно-сервисной модели могут вычисляться SLA/KPI показатели, связанные с ИТ, ИБ и бизнесом. Incident ManagerУправление инцидентами. Автоматическое, настраиваемое формирование инцидентов при срабатывании корреляционных правил или переходах индикаторов ресурсно-сервисной модели из одного состояния в другое. Удобная работа со статусами инцидента, добавление комментариев пользователями, участвующими в решении инцидента, оповещения об изменениях, ведение истории изменений. Дашборды с текущими инцидентами и статистикой. Мониторинг SLA линий технической поддержки. User Behavior AnalyticsМодуль UBA предназначен для оценки операционной эффективности пользователей, подразделений или организации в целом. Мониторинг предполагает подключение любых типов источников, на основании которых строится цифровой пульс активности пользователя. Это позволяет выявить аномалии в его активности, инциденты с его участием, а также помочь в расчете показателей эффективности (KPI/SLA). InventoryСоздание единой базы активов (серверы, рабочие станции, сетевые устройства, информационные системы, объекты кластерной инфраструктуры). Модуль осуществляет систематизацию, обогащение данных с различных информационных источников (AD, CMDB, DNS, сканеры безопасности и пр), дедупликация списка активов, автоматизированное определение состояния актива по множеству параметров. Cyber SecurityМодуль позволяет из единой консоли получать сведения о работе всех необходимых средств защиты информации (СЗИ) отечественного и иностранного производства. В модуле реализованы корреляционные механизмы между событиями различных СЗИ, что позволяет выявлять события информационной безопасности, не определяемые ни одним СЗИ по отдельности. NetworkМодуль позволяет оперативно собирать и анализировать информацию о состоянии сетевого оборудования, каналов связи, подключениях устройств. Контроль использования ресурсов оборудования (процессор, память, сетевые интерфейсы, порты, вентиляторы, температура). Контроль изменения конфигурации, в том числе реагирование на добавление/удаление определенных команд, секций и т. п. Контроль и история доступа к оборудованию. ServersМодуль осуществляет оперативный анализ производительности серверов, использования ресурсов определенными процессами, контроль состояния служб, занятое место на дисках. Осуществляется мониторинг температуры процессоров, памяти, обороты вентиляторов, состояние жестких дисков (по S.M.A.R.T.) и т. д. Virtual InfrastructureОсновной источник данных - сервер VMware vCenter. Анализ операций, совершаемых администраторами с виртуальными машинами: создание, удаление, изменение, клонирование и т. д. Комплексная диагностика состояния гипервизора и виртуальных хостов. ContainersМодуль позволяет забирать логи со сред контейнеризации - Openshift, Kubernetes и Docker. В системе появляется возможность централизованно получать метрики и исходные события с контейнеров и сред управления ими, включая логи прикладных систем, располагаемых в контейнерах. Реализована трансформация, фильтрация, маскирование и обогащение данных на этапе сбора. Microsoft Active DirectoryКонтроль основных служб домена, контроль учетных записей: кто администратор домена, кто локальный администратор, оповещение при добавлении/удалении учетной записи из определенных групп, определение учетных записей, от имени которых не было входов за определенное время. Оповещение о необходимости смены пароля. Контроль событий безопасности Active Directory. Microsoft ExchangeКонтролирует работу основных служб почтовых серверов, позволяет анализировать поток писем по получателям, отправителям, выявлять всплески активности, определять вредоносные домены, которые не входят в черные списки антивируса или антиспама. Аудит доступа к почтовым ящикам, определение фактов переадресации почты, автоответов и пр. Выявление аномалий в почтовом трафике. TelephonyС помощью модуля можно оперативно получить практически любую информацию, связанную с анализом звонков, работоспособностью оборудования и сервисов. Анализ и диагностика корректности работы голосового меню IVR, аналитика по входящим/исходящим вызовам. Количество сбоев оборудования или сервисов, подозрительных звонков (за выбранный период). Access ControlСопоставление фактов прохода на территорию с учетными записями в AD, VPN-подключениями, почтовой активностью (на территорию не проходил, но есть вход в систему с локального рабочего места; с территории вышел, а сеанс остался незавершенным и т. п.). Профилирование пользователя (проходы в несвойственное пользователю время, через несвойственные ему пропускные пункты, среднее время отсутствия в офисе в течение дня). RADIUSМодуль омогает на порядки снизить трудоемкость внедрения и сопровождения 802.1х в больших сетях. Отображает авторизации по МАС-адресам и сертификатам в разрезе коммутаторов, конечных клиентов. Позволяет визуализировать процессы подключения к сети, чтобы быстро определить этап, на котором происходит ошибка и устройство не получает доступ, либо помещается в гостевые сети, вместо рабочих и т. д. Certificate AuthorityМониторинг удостоверяющих центров и локальных хранилищ сертификатов. Позволяет оперативно оповещать об истекающих сертификатах в тех случаях, когда сертификаты выданы сторонними УЦ, либо собственный УЦ не позволяет автоматически оповещать о них. Net MapАвтоматическое построение карты сети на основе получаемой с сетевого оборудования информации. Позволяет найти все устройства, определить их тип (конечное устройство, промежуточное сетевое оборудование), построить связи к конкретным портам коммутаторов, маршрутизаторов. Определяет и отображает пользователей VPN. |