Универсальный SIEM-коннектор

Универсальный SIEM-коннектор - Программный комплекс «Continent-SIEM» (ПК Continent-SIEM) обеспечивает передачу информации о событиях из АПКШ «Континент» в SIEM-систему. Преобразует данные, формируемые АПКШ «Континент» в формат «понятный» SIEM-системам, реализованным на платформах различных производителей. Выдает преобразованные данные от криптомаршрутизаторов, детекторов атак, межсетевых экранов, отказоустойчивых кластеров линейки АПКШ «Континент» в SIEM-системы для комплексного анализа событий безопасности.

Сертифицированный аппаратно-программный комплекс шифрования «Континент» разработки компании «Код безопасности» - широко распространенное на территории России решение для организации защищенных каналов связи между территориально распределенными объектами.

Вместе с тем организации, эксплуатирующие АПКШ «Континент», технологически ограничены в возможности обработки событий от этих устройств в своих SIEM-системах. Невозможность использовать столь важный источник данных обусловлена двумя факторами:

  • АПКШ «Континент» штатно не поддерживается современными SIEM-решениями.
  • Поля в журнале аудита АПКШ «Континент» закодированы, что ограничивает применение механизмов SIEM-систем по подключению неподдерживаемых источников.

Кодировка полей событий, полученных от АПКШ «Континент», не поддерживается большинством распространенных SIEM-систем, что не позволяет в полной мере использовать их потенциал в части мониторинга и анализа событий ИБ при выявлении инцидентов и оперативного реагирования на возникающие угрозы.

Для решения этой проблемы НТЦ «Вулкан» разработан Программный комплекс «Continent-SIEM», который позволяет транслировать в SIEM-системы для комплексного анализа событий безопасности данные криптомаршрутизаторов, детекторов атак, межсетевых экранов, отказоустойчивых кластеров линейки АПКШ «Континент» в форматах, воспринимаемых SIEM-системами.

ПК Continent-SIEM - программный продукт, функционирующий под управлением ОС Windows, предназначенный для установки на АРМ управления сетью.

ПК Continent-SIEM поддерживает трансляцию событий от АПКШ «Континент» версии 3.5, 3.6.х, 3.7.х. Для обработанных событий обеспечивается стандартный транспорт – протокол Syslog, а также общепринятый формат сообщений - CEF. Данные отправляются в нормализованном виде, при этом может быть обеспечена параллельная и независимая отправка событий нескольким SIEM-системам.

Практические испытания коннектора подтвердили его совместимость с различными SIEM-решениями, в частности, с продуктами IBM QRadar SIP, RSA Security Analytics/RSA NetWitness, «КАМРАД».