SolarWinds Log & Event Manager

Отслеживание для обеспечения безопасности

Решение SolarWinds LEM собирает сведения о журналах и событиях от устройств и приложений систем безопасности, а также выполняет анализ и корреляцию данных в режиме реального времени. Благодаря этому администраторы немедленно узнают о проблемах, связанных с безопасностью, например вирусах, попытках несанкционированного доступа, отказах от обслуживания и других событиях. Решение LEM включает более 30-ти встроенных автоматизированных средств реагирования, включая отключение неисправного компьютера от сети на уровне сетевого адаптера, запуск и остановку служб, прекращение работы приложений, удаление подозрительных пользователей из группы администраторов, обнаружение и предотвращение несанкционированного использования USB-накопителей и многие другие возможности.

Соблюдение стандартов

Решение LEM включает полные пакеты отчетов для практически всех регулируемых отраслей и поддерживает решения PCI, GPG13, ISO, SOX, GLBA, NIST/FISMA, NCUA, FERPA, NERC/CIP и другие. Решение LEM позволяет: • использовать более 300 встроенных шаблонов отчетов о соблюдении стандартов; • фильтровать информацию с целью настройки отчетов для определенных отделов или получателей; • создавать графические сводки для улучшения высокоуровневых отчетов; • дополнять результаты экспертизы подробными отчетами; • экспортировать отчеты в различных стандартных форматах. Решение LEM позволяет с легкостью создавать отчеты. С помощью более 300 встроенных шаблонов отчетов можно создавать отчеты о соблюдении внутренних и внешних нормативных требований, например PCI DSS, GLBA, SOX, NERC CIP или HIPAA. С помощью интуитивно понятной консоли составления отчетов LEM также можно создать настраиваемый отчет.

Управление изменениями

Решение LEM обеспечивает постоянное предоставление данных об управлении изменениями в режиме реального времени для всего предприятия. Клиенты получают уведомления при изменении настроек маршрутизаторов, коммутаторов, брандмауэров, учетных данных пользователей, Active Directory и других элементов. Средства активного реагирования можно прилагать к правилам корреляции для автоматического сдерживания изменений, например эскалации привилегий или ее отмены.
Отслеживание приложений и серверов Решение LEM позволяет отслеживать и контролировать используемые приложения. Оно также предоставляет данные о деятельности критически важных служб в сети, тем самым обеспечивая работоспособность всех компонентов. Кроме того, применение правил корреляции позволяет автоматически перезапускать критически важные службы в случае их остановки. Для этого требуется определить «Группу» путем выбора выполняемых процессов в соответствии с отраслевыми стандартами.

Отслеживание действий пользователей

Решение LEM предоставляет в режиме реального времени данные о поведении пользователя в сети, включая сведения об посещении веб-сайтов, использовании приложений, доступе к файлам и другую информацию.
Зачем отслеживать успешные попытки входа?
Хотя управление успешными попытками входа может показаться нецелесообразным, рекомендуется отслеживать успешные входы в систему, которые выполняются после нескольких неудачных попыток. Например, если пользователь успешно вошел на сервер или в настройки маршрутизатора после 50-ти неудачных попыток, значит ли это, что он просто вспомнил свои учетные данные? Или это означает, что хакер наконец получил доступ к системе? А как насчет случая, когда пользователь входит в сеть с главного офиса, а два часа спустя — с другого конца мира? Отслеживание удачных попыток входа может быть чрезвычайно полезным при сопоставлении с другими журналами действий.

Отслеживание действий с файлами
Решение LEM предоставляет сведения о действиях с файлами в режиме реального времени, а также соответствующие статистические данные. Решение LEM обеспечивает быстрый и простой доступ к данным о событиям (начиная с уведомлений о несанкционированном доступе к файлам и заканчивая поиском пользователя, удалившего важный документ), которые отображают поведение файлов и являются критически важными для защиты конфиденциальной информации.

Отслеживание конечных точек

Администраторы общих систем и систем безопасности отслеживают журналы серверов для понимания различных действий системы, чтобы изолировать сбои, бреши в системе безопасности и нарушения политик. Однако не менее важно просматривать журналы рабочих станций для расширенного отслеживания действий системы и пользователей. Вероятно, рабочие станции — один из наиболее уязвимых компонентов сети. Они обрабатывают содержимое из Интернета и электронную почту, контактируют с зараженными файлами и внешними запоминающими устройствами, а также могут подключаться к незащищенным сетям по соединению Wi-Fi. Рабочие станции создают множество данных журналов, предоставляющих подробные сведения о событиях с точки зрения конечных точек. Хотя журналы серверов остаются ключевым элементом отслеживания действий системы и пользователей, отслеживание журналов рабочих станций параллельно с журналами серверов обеспечивает более всесторонний и практический анализ событий и действий пользователей.

Обнаружение USB-накопителей и предотвращение вызываемых ими вредоносных атак

Решение Log & Event Manager включает встроенную технологию USB Defender, которая обеспечивает отображение оповещений в режиме реального времени при обнаружении USB-накопителей. Эти оповещения можно в последующем сопоставить с сетевыми журналами для определения потенциальных вредоносных атак, вызванных USB-накопителями. Технология USB Defender, доступная в решении LEM, позволяет выполнять автоматизированные действия, например отключение учетных записей пользователей, помещение рабочих станций на карантин и автоматическое или ручное извлечение USB-устройств. Кроме того, решение LEM содержит встроенное средство составления отчетов для проверки статистики использования USB-накопителей.

Устранение неполадок и экспертиза

Решение Log & Event Manager включает встроенную технологию USB Defender, которая обеспечивает отображение оповещений в режиме реального времени при обнаружении USB-накопителей. С помощью отслеживания событий в режиме реального времени клиенты могут получить данные о проблемах, возникающих во всей сети. События, создаваемые операционными системами, сетевым оборудованием и средствами защиты, предоставляют ценные сведения об общей работоспособности сети. Функции сопоставления и уведомления в режиме реального времени, доступные в решении LEM, мгновенно и своевременно предоставляют сведения о сетевых проблемах.