Заказчик протестировал решения нескольких вендоров. Ключевыми критериями выбора «СёрчИнформ SIEM» стали: доступность всех необходимых функций из «коробки», поддержка нестандартных коннекторов, возможность оперативно реагировать на ИБ-инциденты и обоснованность цены.
«До внедрения SIEM от «СёрчИнформ» на нашем предприятии не было установлено систем подобного класса. Но так как мы занимаемся разработкой и производством микроэлектроники, нам критически важно, чтобы вся инфраструктура организации находилась под надежной защитой. Поэтому и было принято решение о внедрении, – говорит Дмитрий Шишкин, заместитель начальника УИТИ АО «НПП «Пульсар». – «СёрчИнформ SIEM» позволила осуществлять сбор данных из различных источников, централизованно анализировать их в автоматическом режиме и вовремя реагировать на ИБ-инциденты. Кроме того, мы остались довольны подходом к работе отдела внедрения и техподдержки «СёрчИнформ». Специалисты в непринужденной форме и на высоком уровне провели обучение пилотной группы, и продолжают оперативную поддержку и сопровождение системы в процессе эксплуатации».
Так, уже за первые дни эксплуатации «СёрчИнформ SIEM», в инфраструктуре НПП «Пульсар» удалось выявить ряд потенциальных уязвимостей, которые были оперативно устранены.
«Наша SIEM-система работает более чем с 30 коннекторами, для которых доступны почти 400 преднастроенных правил корреляции. Они помогают администратору SIEM уже на этапе внедрения системы определять, где в ИТ-инфраструктуре происходят события, на которые нужно отреагировать. Вкладка с правилами позволяет выявить инциденты, требующие дополнительного расследования, и определить, является ли событие инцидентом. Также «СёрчИнформ SIEM» собирает общую статистику по инцидентам, что позволяет администратору SIEM не пропускать резкого скачка числа сработок», – комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».