ViPNet IDS HS
ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России. За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.
Назначение:
Ключевыми словами, которыми можно описать назначение данного продукта, являются:
- Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
- Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email, а также может настроить передачу событий в ViPNet TIAS или в имеющийся SIEM.
ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:
- эвристического анализа - способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
- удобного расположения - так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).
Архитектура продукта:
- Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
- Сервер — получает, хранит и анализирует информацию от Агентов.
- Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.
ViPNet IDS HS можно использовать как совместно с другими продуктами ViPNet, так и отдельно. Основные задачи:
- Предоставление данных о событиях безопасности для комплексного решения ViPNet Threat Detection & Response
- Обнаружение атак на информационную систему и их оперативное предотвращение.
- Построение ИСПДн, ГИС и АСУ ТП в соответствии с требованиями приказов, в части систем обнаружения вторжений (СОВ.1 и СОВ.2).
- Повышение уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и телекоммуникационного оборудования.
- Помощь в расследовании инцидентов безопасности за счет агрегирования и журналирования событий.
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
AM Threat Intelligence Portal
Получите сведения об индикаторах компрометации в режиме реального времени и повысьте защищенность организации и эффективность расследования инцидентов при помощи веб-сервиса AM Threat Intelligence Portal (AMTIP)
Различные источники отслеживаемых событий. ViPNet IDS HS охватывает все значимые события на хосте и выполняет:
- анализ системных журналов ОС (Windows event log);
- анализ журналов и логов приложений;
- мониторинг результатов команд;
- мониторинг изменения файлов, папок, реестра ОС;
- анализ трафика, проходящего через хост.
Методы определения атак:
- сигнатурный;
- эвристический.
Анализ событий и на хосте, и на сервере. Для снижения нагрузки на сеть и сервер первичная аналитика происходит на самом хосте. Анализ не замедляет работу хоста и незаметен для работы пользователя.
Регистрация событий об обнаруженных вирусах на рабочих станциях. Начиная с версии 1.4 появилось возможность собирать события от антивирусов Dr.Web Desktop Security Suite (Win и Lin) версии 11, а так же Kaspersky Endpoint Security (Windows) версии 11.0.0.6499.
Обнаружение активности вредоносной программы RemSec. Позволяет обнаруживать активность вредоносной программы RemSec на контролируемом узле.
Получение хэш-сумм новых файлов. Возможность получать контрольные суммы с новых файлов в контролируемых папках при помощи алгоритмов MD5, SHA256 и SpamSum.
Отслеживание установки системных обновлений OC Windows – Возможность отслеживания обязательной установки системных обновлений Windows.
Централизованное управление:
- управление датчиками ViPNet IDS HS;
- организация групповых рассылок правил;
- получение исчерпывающей информации о состоянии хоста и событиях на нем в соответствии с заданными настройками.
Оповещение администратора ИБ о событиях безопасности.
В продукте реализована функциональность оповещения администратора ИБ о критических атаках посредством передачи информации в формате CEF по протоколу syslog, а также электронной почты. При этом все события, атаки отображаются в консоли управления продуктом.
Интеграция с Active Directory и ViPNet-сетями
За счёт интеграции продуктов можно построить комплексную систему по обнаружению и предотвращению компьютерных атак атаки.
Интеграция с продуктами ViPNet TIAS и ViPNet IDS MC
Возможность построения собственной системы по обнаружению и предотвращению компьютерных атак, что позволит сократить среднее время на обнаружение инцидента, снизит затраты на эксплуатацию и упростит процесс реагирования на угрозы.
Поддерживаемые ОС
- MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64),
- MS Windows Server 2012 R2, 2012,
- Astra Linux Special Edition 1.5 релиз «Смоленск»*
- Astra Linux Special Edition 1.6 релиз «Смоленск»*
- Debian 8.5*
- AltLinux 7.0 СПТ *
- CentOS 7.5*
- Ред ОС 7.2*
*Поддержка данных операционных систем только для агентов ViPNet IDS HS
Базы правил разрабатываются российской компанией АО «Перспективный мониторинг»
ViPNet IDS HS
Архив версий
Документация на продукты
Документация на продукты ViPNet представлена в виде zip-архивов или непосредственно в виде pdf-файлов. Для просмотра документации Вам понадобится бесплатная программа Adobe Acrobat Reader. Вы ее можете скачать с сайта компании Adobe. При скачивании документации просим вас обращать внимание на указанный номер версии. Эксплуатируемая вами версия продуктов ViPNet может отличаться от представленной на сайте версии документации. Выберите продукт для получения перечня доступной по нему документации:
| Наименование | Версия | Размер, Мб |
|---|---|---|
| Комплект документации для IDS HS | 1.5 от 01.02.2021 | 2,9 Мб |