Проблематика
- чем крупнее организация, тем сложнее инфраструктура. В сложных и территориально распределенных инфраструктурах вероятность возникновения серьезных уязвимостей и реализации целенаправленных атак гораздо выше
- сложная инфраструктура состоит из множества различных информационных систем и средств защиты информации, что усложняет управление ИБ
- в крупной инфраструктуре вредоносная активность злоумышленников высокой квалификации обнаруживается и отслеживается медленно, а среднее время скрытого присутствия, как правило, составляет от одной недели до нескольких месяцев
- для проведения расследований инцидентов ИБ требуется оперативный сбор и анализ большого количества событий, сигналов, данных об инвентаризации, данных об идентификации и уязвимостях
- в крупной инфраструктуре происходит огромное количество событий и инцидентов ИБ. Для обеспечения требуемого уровня ИБ, сотрудникам, которые отвечают за обеспечение ИБ, требуется осуществлять оперативный мониторинг состояния ИБ, а также регулярно оценивать уровень соответствия -инфраструктуры требованиям внутренней политики безопасности, требованиям локального законодательства и международным стандартам в сфере ИБ
Решение
Ankey SIEM Next Generation собирает и обрабатывает события ИБ в инфраструктуре организации, обеспечивает автоматизацию процессов выявления угроз ИБ. Сотрудники, ответственные за обеспечение ИБ, своевременно получают данные об инцидентах ИБ, что позволяет оперативно реагировать на различные компьютерные атаки и предотвратить ущерб.
Основные возможности
- осуществляет автоматизированный мониторинг ИБ в инфраструктуре организации, повышает прозрачность взаимодействия активов в инфраструктуре
- непрерывно отслеживает изменения в инфраструктуре организации за счет автоматической сетевой инвентаризации, которая проводится не только по IP-адресам и сетевым именам, а также и по более высокоуровневым категориям – активам и динамическим группам активов
- выявляет инциденты ИБ среди большого количества событий ИБ, что позволяет своевременно реагировать на них и предотвращать внутренние и внешние угрозы
- обеспечивает обнаружение и реагирование на сбои в работе IT- и ИБ-систем
Система предназначена
- для предприятий с распределенной структурой (холдинги, филиалы)
- для предприятий банковской отрасли, госорганов, нефтегазовой, горнодобывающей и энергетической отраслей
- для компаний с высоким уровнем зрелости ИТ- и ИБ- процессов
- для организаций, заинтересованных в повышении уровня информационной безопасности
Эффект от использования
- повышает эффективность выявления инцидентов ИБ за счет управления активами. Актив - ключевая сущность в Ankey SIEM NG, которая идентифицируется по определенным характеристикам и не зависит от IP-адреса или сетевого имени. Сформированные на активах правила корреляции адаптируются к изменениям в инфраструктуре
- упрощает инвентаризацию активов. Функционал Ankey SIEM NG позволяет строить топологию сети на основе модели инфраструктуры организации, что помогает оператору системы лучше понимать защищаемую инфраструктуру, оценивать угрозы ИБ и возможности их реализации, а так же упрощает расследование инцидентов
- облегчает построение оптимальной модели мониторинга ИБ в инфраструктуре организации. Ankey SIEM NG лицензируется по общему количеству активов и потоку событий в секунду. В одном активе возможно функционирование нескольких источников событий. Если потребуется интеграция Ankey SIEM NG с источниками событий, которые не поддерживаются «из коробки», то возможно оформить запрос на разработку дополнительных коннекторов. Коннекторы и контент не «из коробки» лицензируются отдельно
Ankey SIEM Next Generation сертифицирован ФСТЭК России (№4360 до 18.01.2026 года).
Если у вас есть вопросы по продукту, пожалуйста, обратитесь к нашим специалистам.
Архитектура
Ankey SIEM NG состоит из нескольких программных компонентов, которые могут быть размещены как на одной аппаратной платформе, так и на нескольких. Компоненты Ankey SIEM NG возможно развернуть и в виртуальной среде. Архитектура Ankey SIEM NG обеспечивает гибкое масштабирование и позволяет внедрять систему в организациях практически любого размера. В крупных ИТ-инфраструктурах, где требуется высокопродуктивные системы Ankey SIEM NG, рекомендуется распределенное развертывание компонентов системы.
Описание компонентов Ankey SIEM NG
Управляющий сервер является основным компонентом системы. Управляющий сервер устанавливается в центральном офисе организаций или в крупных территориальных и функциональных подразделениях и выполняет следующие функции:
- централизованное хранение конфигурации активов
- централизованное управление всеми компонентами системы
- оперативное реагирование на инциденты информационной безопасности
- обеспечение взаимодействия подразделений организации при расследовании инцидентов
- автоматизацию процесса управления уязвимостями
- поддержку веб-интерфейса системы
Сервер обработки событий выполняет основные функции по обработке событий безопасности:
- агрегацию, фильтрацию, нормализацию и корреляцию событий
- автоматическое создание инцидентов
- привязку событий к активам
Хранилище событий обеспечивает централизованное хранение информации о событиях безопасности.
Сервер сбора событий сканирует активы системы в режиме черного и белого ящика, собирает события ИБ. Компонент имеет модульную структуру. Модули сканирования позволяют обнаруживать узлы, их открытые сетевые сервисы и проводить специализированные проверки в режиме теста на проникновение. Ankey SIEM NG Agent в режиме активного и пассивного сканирования собирает следующую информацию об активах:
- название, версию и производителя операционной системы
- установленные обновления операционных систем
- список установленного программного обеспечения
- параметры операционных систем и программного обеспечения
- учетные записи пользователей и их привилегии
- данные об аппаратном обеспечении
- данные о сетевых сервисах и службах ОС
- данные о параметрах сети и средствах защиты информации
Также, сервер сбора событий осуществляет сбор данных, которые используются управляющим сервером для расчета уязвимости активов. К одному управляющему серверу можно подключать несколько серверов сбора событий, включая другие управляющие серверы. Это позволяет увеличивать производительность, учитывать, при сканировании, топологию сети и типы каналов связи.
Веб-консоль управления системой Ankey SIEM NG. Поддерживаемые браузеры:
- Google Chrome 49 и выше
- Microsoft Internet Explorer 11 и выше
- Mozilla Firefox 45 и выше
Типовая архитектура Ankey SIEM NG
Ankey SIEM NG возможно развернуть в нескольких различных конфигурациях. Конфигурация зависит от масштаба организации.
Низконагруженная система
Конфигурация Ankey SIEM NG для низконагруженных систем.
Все основные компоненты Ankey SIEM NG устанавливаются в операционную систему на одной аппратной платформе или в виртуальной машине.
Требования к вычислительным ресурсам и программному обеспечению.
Среда установки: операционная система Astra Linux 1.7.3 или Debian 10.
Процессор: 2 процессора с тактовой частотой не менее 2,2 ГГц, поддержка инструкций SSE4.2 и AVX, поддержка технологии многопоточности (суммарно не менее 56 логических ядер)
Оперативная память: 128 ГБ
Жесткий диск: для установки операционной системы и программного обеспечения диски HDD (10000 об./мин.)SAS или SSD не менее 1 000 ГБ эффективного объема дискового пространства в RAID-массиве.
Чтобы определить необходимый объем дискового пространства для хранения событий от источников потребуется выполнить дополнительные расчеты.
Средненагруженная система
Основные компоненты Ankey SIEM NG развертываются на 2 выделенных серверах в пределах одной площадки:
- Сервер для компонентов Ankey SIEM NG Core, Knowledge Base, Ankey SIEM NG Management and Configuration, Ankey SIEM NG Agent.
Требования к вычислительным ресурсам:
Среда установки: операционная система Windows server 2012 R2 64 bit
Процессор: 2 процессора с тактовой частотой 1,8 ГГц; 8 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 64 ГБ
Жесткий диск: для работы операционной системы, установки компонентов и ОС – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый. Для компонентов БД Для БД компонентов - RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБкаждый.
- Сервер для компонентов Ankey SIEM NG Server, Ankey SIEM NG Events Storage.
Требования к вычислительным ресурсам:
Среда установки: операционная система Debian 9.4
Процессор: 2 процессора с тактовой частотой 2,2 ГГц; 14 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 256 ГБ
Жесткий диск: для работы ОС, установки компонентов и БД – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый (к этим дискам необходимо монтировать корневой каталог root). Для компонента AK SIEM Events Storage – RAID 10 (7200 об./мин.), 10 дисков емкостью не менее 4 ТБ каждый (к этим дискам необходимо монтировать разделы с узлами Elasticsearch)
- Сервер для компонента Ankey SIEM NG Network Sensor.
Требования к вычислительным ресурсам:
Среда установки: операционная система Debain 9.4
Процессор: 2 процессора с тактовой частотой 1,8 ГГц; 8 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 32 ГБ
Жесткий диск: Для работы ОС и установки AK Network Sensor – RAID 1(10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый. Для хранилища PCAP-файлов – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый
Высоконагруженная система
Основные компоненты Ankey SIEM NG развертываются на 7 выделенных серверах в рамках одной площадки:
- Ankey SIEM NG Core, Knowledge Base, Ankey SIEM NG Management and Configuration.
Требования к вычислительным ресурсам:
Среда установки: операционная система Windows server 2012 R2 64 bit
Процессор: 2 процессора с тактовой частотой 1,8 ГГц; 8 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 128 ГБ
Жесткий диск: Для работы ОС и установки AK Network Sensor – RAID 1(10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый. Для хранилища PCAP-файлов – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый
- Сервер для компонента Ankey SIEM NG Server.
Требования к вычислительным ресурсам:
Среда установки: операционная система Debian 9.4
Процессор: 2 процессора с тактовой частотой 2,2 ГГц; 14 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 128 ГБ
Жесткий диск: Для работы ОС и установки AK Network Sensor – RAID 1(10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый. Для хранилища PCAP-файлов – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый
- Сервер для компонента AK SIEM Events Storage.
Требования к вычислительным ресурсам:
Среда установки: операционная система Debian 9.4
Процессор: 2 процессора с тактовой частотой 2,2 ГГц; 14 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 256 ГБ
Жесткий диск: Для работы ОС и установки AK SIEM Events Storage - RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый (к этим дискам необходимо монтировать корневой каталог root). Для хранения событий – RAID 10 (7200 об./мин.), 10 дисков емкостью не менее 4 ТБ каждый (к этим дискам необходимо монтировать разделы с узлами Elasticsearch). Дополнительная дисковая полка - RAID 10 (7200 об./мин.), 12 дисков емкостью не менее 4 ТБ каждый (при достижении потоком событий скорости 15 000 EPS необходимо подключить одну полку, при достижении 20 000 EPS - две полки).
- Не менее трех серверов для компонентов Ankey SIEM NG Agent.
Требования к вычислительным ресурсам:
Среда установки: операционная система Windows server 2012 R2 64 bit
Процессор: 2 процессора с тактовой частотой 2,1 ГГц; 8 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 64 ГБ
Жесткий диск: Для работы ОС и установки Ankey SIEM NG Agent – RAID 1(10 000 об./мин.) не менее 356 Гб.
- Сервер для компонента Ankey SIEM NG Network Sensor.
Требования к вычислительным ресурсам:
Среда установки: операционная система Debian 9.4
Процессор: 2 процессора с тактовой частотой 1,8 ГГц; 8 ядер на каждый процессор, поддержка многопоточности.
Оперативная память: 32 ГБ
Жесткий диск: Для работы ОС и установки AK Network Sensor – RAID 1(10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый. Для хранилища PCAP-файлов – RAID 1 (10 000 об./мин.), 2 диска емкостью не менее 1,2 ТБ каждый
6.61 MB