ViPNet IDS HS
-
Категория:
- Система обнаружения атак, Защита рабочих станций и серверов
-
Исполнение:
- Программный комплекс
-
операционная система:
- Windows, Linux
ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России. За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.
Назначение:
Ключевыми словами, которыми можно описать назначение данного продукта, являются:
- Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
- Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email, а также может настроить передачу событий в ViPNet TIAS или в имеющийся SIEM.
Главное — всегда быть в курсе, что происходит на хосте.
ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:
- эвристического анализа - способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
- удобного расположения - так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).
Архитектура продукта:
- Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
- Сервер — получает, хранит и анализирует информацию от Агентов.
- Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.
Поддерживаемые ОС
- MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64),
- MS Windows Server 2012 R2, 2012,
- Astra Linux Special Edition 1.5 релиз «Смоленск»*
- Astra Linux Special Edition 1.6 релиз «Смоленск»*
- Debian 8.5*
- AltLinux 7.0 СПТ *
- CentOS 7.5*
- Ред ОС 7.2*
*Поддержка данных операционных систем только для агентов ViPNet IDS HS
Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»
Сценарии использования
ViPNet IDS HS можно использовать как совместно с другими продуктами ViPNet, так и отдельно. Основные задачи:
-
Предоставление данных о событиях безопасности для комплексного решения ViPNet Threat Detection & Response
-
Обнаружение атак на информационную систему и их оперативное предотвращение.
-
Построение ИСПДн, ГИС и АСУ ТП в соответствии с требованиями приказов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
-
Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
-
Помощь в расследовании инцидентов безопасности за счет агрегирования и журналирования событий.
Преимущества
-
Система и базы правил разработаны в России.
-
Расчёт хэш-сумм новых файлов для дальнейшего анализа и сравнения с базой зловредного программного обеспечения.
-
Обнаружение сетевых атак, которые не видны сетевым IDS (атаки в шифрованном трафике).
- Централизованное управление продуктом.
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
Различные источники отслеживаемых событий. ViPNet IDS HS охватывает все значимые события на хосте и выполняет:
- анализ системных журналов ОС (Windows event log);
- анализ журналов и логов приложений;
- мониторинг результатов команд;
- мониторинг изменения файлов, папок, реестра ОС;
- анализ трафика, проходящего через хост.
Методы определения атак:
- сигнатурный;
- эвристический.
Анализ событий и на хосте, и на сервере. Для снижения нагрузки на сеть и сервер первичная аналитика происходит на самом хосте. Анализ не замедляет работу хоста и незаметен для работы пользователя.
Регистрация событий об обнаруженных вирусах на рабочих станциях. Начиная с версии 1.4 появилось возможность собирать события от антивирусов Dr.Web Desktop Security Suite (Win и Lin) версии 11, а так же Kaspersky Endpoint Security (Windows) версии 11.0.0.6499.
Обнаружение активности вредоносной программы RemSec. Позволяет обнаруживать активность вредоносной программы RemSec на контролируемом узле.
Получение хэш-сумм новых файлов. Возможность получать контрольные суммы с новых файлов в контролируемых папках при помощи алгоритмов MD5, SHA256 и SpamSum.
Отслеживание установки системных обновлений OC Windows – Возможность отслеживания обязательной установки системных обновлений Windows.
Централизованное управление:
- управление датчиками ViPNet IDS HS;
- организация групповых рассылок правил;
- получение исчерпывающей информации о состоянии хоста и событиях на нем в соответствии с заданными настройками.
Оповещение администратора ИБ о событиях безопасности.
В продукте реализована функциональность оповещения администратора ИБ о критических атаках посредством передачи информации в формате CEF по протоколу syslog, а также электронной почты. При этом все события, атаки отображаются в консоли управления продуктом.
Интеграция с Active Directory и ViPNet-сетями
За счёт интеграции продуктов можно построить комплексную систему по обнаружению и предотвращению компьютерных атак атаки.
Интеграция с продуктами ViPNet TIAS и ViPNet IDS MC
Возможность построения собственной системы по обнаружению и предотвращению компьютерных атак, что позволит сократить среднее время на обнаружение инцидента, снизит затраты на эксплуатацию и упростит процесс реагирования на угрозы.