NGR Softlab: Alertix платформа для анализа событий

Основные статьи:

• Security Information and Event Management (SIEM)
• Управление данными

2024: Alertix 3.6.3 с концепцией SAYT

NGR Softlab выпустил обновленную версию SIEM-решения Alertix — 3.6.3. Изменения направлены на повышение удобства и эффективности использования платформы. Об этом компания сообщила 20 августа 2024 года.

Обновления затронули интерфейс, функционал обзора событий и детектирующие компоненты платформы. В Alertix 3.6.3 внедрена концепция SAYT (Search-as-you-type) и усовершенствована логика выполнения запросов к событиям для ускорения поиска. Добавлена возможность редактирования фильтров, внесенных из событий вручную или быстрым способом, а в таблице ресурсов — настройка по ответственному лицу, наличию уязвимостей и другим критериям.Как «Полюс» отказывается от SAP. Опыт российского лидера золотодобычи представлен на TAdviser SummIT 4.1 т

В данной версии стал более удобным доступ к ключевой информации: поля-агрегаторы внесены в отдельную вкладку каждого события. Также появилась возможность быстрого полнотекстового поиска по клику, что ускоряет расследование подозрений и свободный поиск признаков инцидентов.

Кроме того, создана страница оценки покрытия инфраструктуры агентами Alertix, позволяющая выявить хосты, на которые необходимо установить агента, а также внести исключения. Улучшены детектирующие компоненты: в сервисе Signal для правил всех типов теперь действуют единые механизмы проверки, а в Anomaly Detection (UEBA) добавлена возможность отключать правила обнаружения и изменять критичность генерируемых событий. Оптимизирован кеш сервиса для повышения производительности.

Также в Alertix 3.6.3 были внесены изменения в дизайн страниц и элементы меню, добавлены всплывающие подсказки повышение интуитивности использования платформы.

Мы постоянно совершенствуем Alertix, чтобы предоставить нашим заказчикам самый эффективный инструмент для выявления и расследования инцидентов информационной безопасности. При разработке новой версии 3.6.3 мы сделали фокус на упрощении работы с платформой, ускорении процессов анализа инцидентов и повышении уровня безопасности, — отмечает Дмитрий Пудов, заместитель генерального директора NGR Softlab.

2023

Alertix 3.6.0 с цветовым индикатором состояния агентов

В обновленной версии платформы SIEM Alertix изменен подход к распространению обновлений: теперь обновление компонентов в рамках мажорной версии доступно без необходимости апгрейда всей платформы в целом. Прямо из веб-интерфейса можно обновить или откатить назад любую версию компонента. Это позволит быстрее доставлять функции и исправления пользователям. Об этом 7 декабря 2023 года сообщила компания NGR Softlab (Энджиар Софтлаб).

Управление агентами стало нагляднее благодаря переработке интерфейса: добавлен цветовой индикатор состояния агентов, появились пиктограммы установленных модулей, на странице управления группами агентов Alertix добавлены возможности массовых операций.

Доработано управление приемом событий SIEM-платформой: для ресиверов Syslog и SNMP упрощено подключение нестандартных источников. Улучшен функционал поиска по событиям, в частности, добавлена возможность подключения сторонних (не относящихся к платформе) кластеров. При этом доступны поиск и корреляция по данным.

Изменения затронули и модуль поведенческого анализа в Alertix: появилась новая страница визуализации пользовательской аналитики UEBA, на которой представлена статистика результатов работы сервиса: аномалии за неделю, топ-5 наиболее подозрительных пользователей, хостов, процессов, а также количество аномалий в разрезе профилей поведения. В конфигурации можно исключить хосты из поиска аномалий и временно отключить запись найденных аномалий.

Расширился перечень интеграций, доступных «из коробки»: сведения об уязвимостях и инвентаризацию теперь можно пополнять на основе данных сканера RedCheck.

В релизе Alertix 3.6.0 реализованы пожелания заказчиков и партнеров, собранные во время совместной работы, – сообщил генеральный директор NGR Softlab Дмитрий Пудов. – Мы детально подошли к улучшениям нашей SIEM-системы, представив рынку функционал, позволяющий подразделениям ИБ повысить свою эффективность и производительность без необходимости существенных инвестиций.

Платформа мониторинга событий безопасности Alertix адаптируется к актуальным изменениям и переходу многих организаций на российские ОС. В обновленной версии SIEM-система пополнилась большим количеством правил детектирования для Linux-систем (всего «из коробки» доступно 187 правил корреляции и 75 поддерживаемых источников). У Alertix есть сертификат соответствия ФСТЭК №4596, действующий до 2027 года.

Alertix 3.5.0 с интегрированным агентом для Linux и Windows

22 июня 2023 года компания NGR Softlab сообщила об обновлении SIEM-системы Alertix до версии 3.5.0. Она включает улучшения основного прикладного функционала и интерфейса, оптимизацию управления приемом событий от источников и общесистемные изменения. Это позволит повысить безопасность ИТ-инфраструктуры заказчиков и увеличить эффективность работы ИБ-персонала.

В данную версию платформы Alertix интегрирован единый агент собственной разработки NGR Softlab для Linux и Windows-систем. Благодаря этому повышается удобство эксплуатации и централизованного управления конфигурацией решения, существенно расширятся возможности по сбору событий с ОС Linux.

Реализована интеграция со сканерами уязвимостей. Полученные данные пополняют базу инвентаризационной информации, а также ведется контроль появления новых уязвимостей на хостах с уведомлением о них. Среди поддерживаемых для интеграции решений — популярные сканеры российского производства.

При частом срабатывании правил корреляции результаты агрегируются в одно подозрение с последующим уведомлением аналитика ИБ. При этом все обнаруженные факты будут прикреплены к подозрению и указана частота их формирования. Это упростит работу персонала, расследующего обнаружения, и существенно сократит количество уведомлений, на которые требуется реакция.

Добавлен инструмент поддержки расследования ─ блокнот аналитика. Он поможет сократить одну из ключевых метрик эффективности центра мониторинга ─ TTC (Time-to-Contain). Блокнот ─ это система интерактивных заметок, записываемых при расследовании инцидентов или свободном поиске. Настроенные поисковые фильтры, запросы, индикаторы компрометации, ссылки и файлы объединены в едином инструменте с возможностью быстрого вызова или поиска по ним. Собранные индикаторы одним нажатием можно проверить в сервисах Whois, Virustotal и AbuseIPDB.

Добавлена поддержка загрузки файлов IOC в формате STIX. Этот стандарт описания для распространения индикаторов компрометации пополнил ранее поддерживаемые CSV-файлы. Дополнены возможности сбора индикаторов: поддерживается загрузка файлов вручную в интерфейсе платформы.

Также в данной версии Alertix добавлена возможность использования сторонней служебной СУБД PostgreSQL. Теперь при установке продукта можно указать сервер с существующей СУБД и не устанавливать ее на хост с платформой.

Мы проделали большую работу во время подготовки новой версии Alertix, ─ прокомментировал Дмитрий Пудов, генеральный директор NGR Softlab. ─ Были собраны пожелания партнеров и заказчиков на пилотах, что позволило детально подойти к обновлению SIEM-системы. Одна из наших ключевых задач ─ предоставить рынку решения с максимальным уровнем защищенности и отвечающие текущим трендам информационной безопасности.

2022

Сертификат ФСТЭК для SIEM-системы Alertix

23 ноября 2022 г российский разработчик решений по информационной безопасности NGR Softlab объявил о получении сертификата ФСТЭК на «Платформу мониторинга событий безопасности Alertix».

Иллюстрация: ngrsoftlab.ru

Платформа Alertix предназначена для сбора и обработки данных от различных источников ИТ-инфраструктуры организации, поиска нежелательных событий и инцидентов информационной безопасности.

Она включает в себя практики одного из SOC-центров России. Теперь эти технологии доступны заказчикам не только на условиях сервисной модели, но и как самостоятельный продукт, устанавливающийся внутри инфраструктуры организации.

Сертификат ФСТЭК подтверждает, что Alertix можно использовать в государственных информационных системах, на объектах критической информационной инфраструктуры, в автоматизированных системах управления производственными и технологическими процессами. В информационных системах общего пользования, обрабатывающих информацию ограниченного доступа, в том числе персональные данные и другие виды конфиденциальной информации.

Сертификат соответствия № 4596 внесен в государственный реестр системы сертификации защиты информации и действителен до 18 ноября 2027 года. Он подтверждает соответствие требованиям по безопасности информации по четвертому уровню доверия.

«Нами проделана большая работа в ответ на запрос наших партнеров и заказчиков. Сертификат подтверждает, что наша SIEM-система Alertix отмечена «знаком качества» и соответствует всем необходимым требованиям регулятора. Это позволит предлагать решение заказчикам и партнерам из разных сфер, чтобы обеспечивать для них выполнение требований регулятора и максимальный уровень защищенности»,- комментирует Дмитрий Пудов, генеральный директор NGR Softlab.

Выход обновления 3.3.1 со сниженными аппаратными требованиями

6 сентября 2022 года компания NGR Softlab сообщила о выпуске обновления 3.3.1 SIEM-системы Alertix, предназначенной для сбора, хранения событий и автоматизированного выявления и учета инцидентов ИБ.

В данной версии разработчик снизил аппаратные требования продукта и усовершенствовал процесс выявления инцидентов: добавлены возможности сервиса автоинвентаризации, обозревателя событий, улучшено управление приемом информации от различных источников данных.

Для снижения нагрузки на клиентскую инфраструктуру и увеличения производительности системы NGR Softlab почти вдвое уменьшил аппаратные требования к компонентам хранения (Data-cluster) и приемникам событий. Кроме того, добавлено динамическое определение параметров Data-cluster в момент установки и возможность масштабирования потока обработки данных в зависимости от доступных ресурсов.

В настройках сервиса, предназначенного для пополнения инвентаризационной информации и мониторинга данных, пользователи могут автоматически контролировать поступления событий от подключенных источников. Кроме того, разработчик дополнил сервис функционалом оперативных уведомлений: при нахождении нового хоста или активности в подсетях будет отправлено сообщение через интегрированные сервисы — например, через Email, Telegram или другие выбранные пользователем способы.

Для упрощения актуализации инвентаризационной информации NGR Softlab добавил настройку периода неактивности для агентов и IP-адресов, по истечении которой они удаляются из базы. На странице отображения активности в подсетях стал доступен просмотр детализации по хостам, которые обнаружил сервис автоинвентаризации в поступающих событиях.

Также улучшены UX/UI-показатели Alertix за счет пересмотра дизайна и механизмов визуализации графов запуска процессов и добавления возможности визуализации сетевых соединений, устанавливаемых операциями с файлами и реестром.

В параметрах конфигурации сервиса ГосСОПКА внедрено включение функции отслеживания новых входящих сообщений в личном кабинете и возможность использования нескольких адресов электронной почты для уведомления пользователей при получении входящих сообщений.

Наша компания оперативно реагирует на потребности рынка и в ответ на запросы клиентов и партнеров мы проделали работу, чтобы снизить нагрузку на ИТ-инфраструктуру и увеличить производительность. Мы стремимся предоставлять рынку лучшие с точки зрения совокупной стоимости владения решения, которые обеспечивают для наших клиентов максимальный уровень защищенности, — отметил Дмитрий Пудов, генеральный директор NGR Softlab.

Выход обновления 3.2.2.

6 мая 2022 года российский разработчик NGR Softlab сообщил о том, что подготовил обновление 3.2.2. для платформы Alertix. ПО предназначено для мониторинга событий ИБ, выявления инцидентов, их учета, расследования и уведомления регуляторов.

Alertix: сбор, обработка и хранение событий

Это минорное обновление, но по объему изменений масштабное: доработаны вопросы стабильности и архитектуры, внедрен сервис Anomaly Detection, улучшены UI\UX и функционал платформы.

Внедрение сервиса поведенческой аналитики Anomaly Detection класса User and Entity Behavior Analytics позволит отследить отклонения поведения пользователей, хостов и процессов от «нормального» по 46 профилям. Из обнаруженного аномального поведения пользователей возможно быстрое создание подозрения в сервисе учета инцидентов — вручную или при использовании записей об аномалиях сервисом корреляции.

Для защиты Alertix от возможных ошибок, затирания данных и повреждениях резервных копий были доработаны механизмы ротации, резервного копирования и обновления данных. Также NGR Softlab оптимизировала механизмы циклов обновлений, позволяющих сократить время администраторов Alertix и снизить вероятность ошибок.

Из пунктов обновления интерфейса можно отметить расширение возможностей поиска в обозревателе хостов, а также повышение удобства контроля фоновых задач по генерации тегов для обогащения и разметки событий и приоритезации ИТ активов. Для облегчения диагностики и удобства обращения в техподдержку «в один клик» на странице «О программе» добавлена возможность выгрузки пакета всех логов платформы (logs dump) в сжатом виде.

«Мы анализируем работу нашего ПО и не перестаем совершенствовать как функциональную составляющую, так и интерфейс для обеспечения нашим клиентам удобства в использовании. Важным ориентиром в работе NGR Softlab мы считаем оперативное внедрение модулей и систем выявления нелегитимных действий в инфраструктуре заказчика. Эксперты компании стремятся развивать возможности платформы и предоставлять инструменты, в ответ на видоизменяющийся ландшафт угроз», отметил Дмитрий Пудов, генеральный директор NGR Softlab

2021: Включение в Единый реестр российских программ

6 июля 2021 года стало известно о том, что решение Alertix российского разработчика ПО NGR Softlab включено в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Программному обеспечению присвоен номер 2021612428 по основному классу «Системы мониторинга и управления» и дополнительному классу «Средства поддержки принятия решений (DSS)».

Платформа Alertix представляет собой универсальный инструмент для сбора и обработки данных, поиска и автоматического сигнатурного обнаружения нежелательных событий или их комбинаций, а также визуализации динамики и значений хранимых данных. Решение может быть использовано для управления журналами ИТ-систем (LM), ИТ- и ИБ-мониторинга (SOC, NOC), поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных.

Платформа Alertix проектировалась и разрабатывалась для оказания коммерческих услуг SOC по требованиям опытных аналитиков ИБ. Первичными целями разработки являлось обеспечение действительно оперативного и удобного инструментария поиска по большим массивам данных, позволяющего снизить длительность процессов расследования и сбора необходимых фактов.

NGR Softlab зарегистрировала все три своих продукта в Реестре отечественного ПО. Для нас это событие является важным этапом в рамках долгосрочной стратегии усиления присутствия и достижения лидерства на российском рынке ИБ-решений, на который мы ориентированы в первую очередь. Компания стремится анализировать тренды и предвосхищать потребности клиентов, противостоящих вызовам информационной безопасности, – комментирует генеральный директор NGR Softlab Дмитрий Пудов.