Naša výnimočnosť nás definuje.

Náš cieľ je odovzdávať projekty v určenom termíne,
v danom rozpočte a v požadovanej kvalite.

PCE

SIEM

Naša spoločnosť sa dlhodobo zaoberá nasadzovaním riešení SIEM - Security Information & Event Management pre zákazníkov z rôznych odvetví, pričom sa zameriava na zohľadnenie špecifík zákazníka. SIEM je evolučnou integráciou dvoch pôvodne rozdielnych technológií: Security Event Management (SEM) (primárne zhromažďovanie bezpečnostných udalostí, reprezentovaných bezpečnostne relevantnými hláseniami) a  Security Information Management (SIM)  (primárne normalizácia a korelácia bezpečnostných udalostí).

Jedná sa o sadu technológií, poskytujúcich:  zber a zhromažďovanie hlásení, parsovanie hlásení, normalizáciu hlásení, agregáciu hlásení, koreláciu hlásení, analýzu informácií z hlásení či vyhodnocovanie celkovej bezpečnostnej situácie. Zdrojom bezpečnostne relevantných hlásení sú najčastejšie logovacie záznamy v log súboroch, databázových tabuľkách, Windows Event Log úložiskách a podobne.  Je ich možné získavať mechanizmami syslog, SNMP, NetFlow, využitím špecifických API volaním webových služieb atď. 

SIEM riešenia umožňujú získavať a spracovávať hlásenia zo širokej škály zariadení rôznych typov, predovšetkým: operačné systémy, sieťové firewally, databázové systémy,  anti-malware SW, špecializované bezpečnostné riešenia (IPS – Intrusion Protection Systems, DAM – Database Activity Monitoring, WAF – Web Application Firewals a podobne), systémy monitorovania inraštruktúry, zdroje referenčných údajov o užívateľských identitách a tak ďalej.

 


V našich riešeniach sa špecializujeme  na bezpečnostne relevantné hlásenia aplikácií, ktoré sú dôležité pre monitorovanie bezpečnosti.


Takáto integrácia si často vyžaduje detailnú analýzu možností logovania a úprav na strane aplikácie, realizáciu zmien na úrovni konfigurácie a často aj programového kódu aplikácie, ako aj prispôsobenie procesu spracovania na strane SIEM.

 

PCE

Policy Compliance Engine (PCE) je zariadenie, vyvinuté našou spoločnosťou, ktoré umožňuje definovať priority bezpečnostného monitorovania (významných používateľov, významných operácií, časových a ďalších aspektov)  a zohľadňovať charakteristiky obvyklých aktivít. Po získaní hlásenia z monitorovaného zdroja, PCE porovnáva každé hlásenie aplikácie s informáciami v Baseline a následne vyhodnocuje tieto informácie. Výsledkom je obohatené pôvodné hlásenie.

Baseline- ide o skupinu informácií, ktorá umožňuje definovať priority monitorovania (významných používateľov a operácií) a do určitej miery charakteristiky normálnej činnosti (vzťahy medzi objektmi Baseline navzájom a k focusovaným objektom). Samotný Baseline (model popisujúci požadovaný stav) má nasledujúce výhody:  Jednoduché naplnenie  (napríklad import xls), zabezpečuje ochranu baseline dát pred ovplyvnením a je možné definovanie nezávislou zložkou (napríklad audit).

 


Real-time porovnávanie každého hlásenia s baseline a označovanie odchýliek neovplyvňuje prevádzku monitorovanej aplikácie.


 

Ohodnocovanie udalostí
Poznáme dve kategórie: Focus level (na jednoduchú identifikáciu) a Violácie (na detekciu odchýlok od predpísaného správania). Focus level charakterizuje aktivity dôležitých užívateľov, operácií, nad dôležitými objektmi. Violácie zabezpečujú: Detekciu použitia nesprávneho prostredia užívateľom, detekciu použitia nesprávneho  terminálu, detekcia použitia nesprávnej operácie či detekciu použitia operácie v nesprávnom prostredí.

 

Možnosť obohatenia hlásenia o referenčné údaje (napr. Identity Management) 
Takto obohatené hlásenie je posielané do SIEM riešenia, kde je možné napríklad:  jednoducho filtrovať udalosti privilegovaných používateľov, automatickú detekciu porušenia  „segregation of duties“  (tzv. oddelenie rolí),  automatickú detekciu porušenia pravidiel organizácie či analyzovať udalosti na základe referenčných údajov.


 

Pozrite si tiež: PCE - produktový list

Chcem sa dozvedieť viac o PCE >>