Решение по управлению событиями и информацией,

связанной с безопасностью, (SIEM) IBM Security QRadar может использоваться как базовое решение в

центрах обеспечения безопасности малых и крупных

компаний для сбора, стандартизации и корреляции

доступных сетевых данных с применением

полученного за многие годы отраслевого опыта. В результате этих действий организации получают в свое

распоряжение оперативную информацию о

безопасности.

Application of SIEM IBM Qradar in the Russian Federation

Применение SIEM IBM Qradar в государственных и

муниципальных нуждах недопустимо т.к. не отвечает

требованиям Российского законодательства (Федерального закона от 29 июня 2015 года № 188 О

внесении изменении в Федеральный закон "Об

информации, информационных технологиях и о защите

информации" и статью 14 Федерального закона "О

контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и

муниципальных нужд"), т.к SIEM IBM Qradar не

является Российской программой для электронных

вычислительных машин баз данных и не числится в

реестре Российского программного обеспечения.

LICENSES AND CERTIFICATES OF REGULATORS OF RUSSIA

SIEM IBM Qradar версии 7 и всех подверсий в рамках

этой версии на данный момент имеет сертификат

ФСТЭК России от 02 марта 2015 года (На серийное производство). Текущая версия системы 7.2.7.

В ТУ сказано, что «комплекс предназначен для

контроля защищенности информации, не содержащей

сведения, составляющие государственную тайну, в

государственных информационных системах 3 и 4 классов защищенности, а также обеспечения 3, 4

уровня защищенности персональных данных в

информационных системах».

Features

SIEM QRadar интегрирует в единое унифицированное решение управление информацией и событиями

системы безопасности (SIEM).

Использует преимущества единой архитектуры.

Выявляет признаки наиболее критичных инцидентов

ИБ. Обеспечивает всестороннее наглядное

представление графиков сетевой активности.

Автоматизирует процессы, направленные на

соблюдение нормативных требований по ИБ.

Использует корреляцию в режиме реального времени и обнаружение аномалий для выявления наиболее

изощренных угроз.

Transparency of applications and detection of anomalies

В централизованной базе данных решения QRadar

SIEM сохраняются как события источников журналов,

так и данные о сетевом трафике, что позволяет коррелировать отдельные события с двусторонним

сетевым трафиком по одному и тому же IP-адресу.

Благодаря возможности отслеживания трафика данных

приложений на OSI-уровне 7 решение QRadar SIEM способно предоставлять точный анализ и сведения о

корпоративной сети для целей мониторинга политик,

угроз и сетевой активности в целом.

Ensuring protection against threats in virtual environments

Поскольку виртуальные серверы также уязвимы для

угроз безопасности, как и физические при

использовании механизмов QRadar VFlow Collector ИТ-специалисты получают возможность подробно

просмотреть огромное количество действий,

создаваемых бизнес-приложениями в виртуальных

сетях, и могут лучше идентифицировать такие

приложения для целей мониторинга безопасности, анализа поведения на уровне приложений и

обнаружения аномалий. Операторы также могут

захватывать контент приложений для более

подробного анализа и экспертизы аспектов

информационной безопасности.

COST

Стоимость приобретения SIEM IBM Qradar складывается из многих факторов комплекта поставки

и конфигурации самой системы.

Например, на практике у Вас подключено порядка 30

источников (15 серверов Windows, ферма VMWare,

антивирус, MS SQL и кластер Check Point) это в среднем порядка 400 EPS.

Для примера стоимость ПАК IBM QRadar SIEM All-In-

One Hardware Appliance 2100 Light с

производительностью 500 EPS и 25 000 FPM составляет примерно 3 млн. 800 тыс. руб. или 63 000 $.

Ежегодное продление поддержки обойдется Вам

примерно в 25% от начальной стоимости закупки.

Characteristics

Сертификат ФСТЭК России по

защите конфиденциальной

информации, включая ИСПДн

Сертификат от 02.03.2015

(На серийное

производство)

Сертификат соответствия ФСТЭК России по уровню

контроля отсутствия НДВ

Наличие в реестре российских

программ для электронных

вычислительных машин и баз данных Минкомсвязи России

Работа с источниками АСУ ТП Частично

Принцип работы Сниффинг

Цена от 3 млн. руб.

Стоимость продления 25% от стоимости

Платформа Red Hat Enterprise

6.3

Наличие функционала

(интерфейса) по созданию

собственных коннекторов и

правил корреляции

Частично

(функционал есть,

интерфейс

отсутствует)

Программно-аппаратная

реализация

Технология клиент-сервер

Удаленная установка

клиента/централизованная

установка клиента

Контроль целостности файлов и

программной части Частично

Страна разработчик США: Армонк, штат

Нью-Йорк

Ориентация на соответствие

отечественным техническим

регламентам и стандартам в

области ИБ

Частично

postscript

Вся информация, приведенная в презентации и на

сайтах проекта SIEM Analytics, предоставлена нашими

партнерами в лице разработчиков, дистрибьюторов и

интеграторов SIEM-систем, представленных в нашем обзоре. Мы приглашаем к сотрудничеству сторонних

разработчиков SIEM-систем не приведенных в нашем

обзоре.

Полную версию описания SIEM Qradar, а также сравнение с конкурентами, вы можете найти на наших

сайтах (http://www.siem.su, http://www.siem.guru).