NGR Softlab: Alertix платформа для анализа событий

Продукт
Разработчики: NGR Softlab (Энджиар Софтлаб)
Дата последнего релиза: 2024/08/20
Технологии: MDM - Master Data Management - Управление основными мастер-данными,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основные статьи:

2024: Alertix 3.6.3 с концепцией SAYT

NGR Softlab выпустил обновленную версию SIEM-решения Alertix — 3.6.3. Изменения направлены на повышение удобства и эффективности использования платформы. Об этом компания сообщила 20 августа 2024 года.

Обновления затронули интерфейс, функционал обзора событий и детектирующие компоненты платформы. В Alertix 3.6.3 внедрена концепция SAYT (Search-as-you-type) и усовершенствована логика выполнения запросов к событиям для ускорения поиска. Добавлена возможность редактирования фильтров, внесенных из событий вручную или быстрым способом, а в таблице ресурсов — настройка по ответственному лицу, наличию уязвимостей и другим критериям.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос

В данной версии стал более удобным доступ к ключевой информации: поля-агрегаторы внесены в отдельную вкладку каждого события. Также появилась возможность быстрого полнотекстового поиска по клику, что ускоряет расследование подозрений и свободный поиск признаков инцидентов.

Кроме того, создана страница оценки покрытия инфраструктуры агентами Alertix, позволяющая выявить хосты, на которые необходимо установить агента, а также внести исключения. Улучшены детектирующие компоненты: в сервисе Signal для правил всех типов теперь действуют единые механизмы проверки, а в Anomaly Detection (UEBA) добавлена возможность отключать правила обнаружения и изменять критичность генерируемых событий. Оптимизирован кеш сервиса для повышения производительности.

Также в Alertix 3.6.3 были внесены изменения в дизайн страниц и элементы меню, добавлены всплывающие подсказки повышение интуитивности использования платформы.

«
Мы постоянно совершенствуем Alertix, чтобы предоставить нашим заказчикам самый эффективный инструмент для выявления и расследования инцидентов информационной безопасности. При разработке новой версии 3.6.3 мы сделали фокус на упрощении работы с платформой, ускорении процессов анализа инцидентов и повышении уровня безопасности, — отмечает Дмитрий Пудов, заместитель генерального директора NGR Softlab.

»

2023

Alertix 3.6.0 с цветовым индикатором состояния агентов

В обновленной версии платформы SIEM Alertix изменен подход к распространению обновлений: теперь обновление компонентов в рамках мажорной версии доступно без необходимости апгрейда всей платформы в целом. Прямо из веб-интерфейса можно обновить или откатить назад любую версию компонента. Это позволит быстрее доставлять функции и исправления пользователям. Об этом 7 декабря 2023 года сообщила компания NGR Softlab (Энджиар Софтлаб).

Управление агентами стало нагляднее благодаря переработке интерфейса: добавлен цветовой индикатор состояния агентов, появились пиктограммы установленных модулей, на странице управления группами агентов Alertix добавлены возможности массовых операций.

Доработано управление приемом событий SIEM-платформой: для ресиверов Syslog и SNMP упрощено подключение нестандартных источников. Улучшен функционал поиска по событиям, в частности, добавлена возможность подключения сторонних (не относящихся к платформе) кластеров. При этом доступны поиск и корреляция по данным.

Изменения затронули и модуль поведенческого анализа в Alertix: появилась новая страница визуализации пользовательской аналитики UEBA, на которой представлена статистика результатов работы сервиса: аномалии за неделю, топ-5 наиболее подозрительных пользователей, хостов, процессов, а также количество аномалий в разрезе профилей поведения. В конфигурации можно исключить хосты из поиска аномалий и временно отключить запись найденных аномалий.

Расширился перечень интеграций, доступных «из коробки»: сведения об уязвимостях и инвентаризацию теперь можно пополнять на основе данных сканера RedCheck.

«
В релизе Alertix 3.6.0 реализованы пожелания заказчиков и партнеров, собранные во время совместной работы, – сообщил генеральный директор NGR Softlab Дмитрий Пудов. – Мы детально подошли к улучшениям нашей SIEM-системы, представив рынку функционал, позволяющий подразделениям ИБ повысить свою эффективность и производительность без необходимости существенных инвестиций.
»

Платформа мониторинга событий безопасности Alertix адаптируется к актуальным изменениям и переходу многих организаций на российские ОС. В обновленной версии SIEM-система пополнилась большим количеством правил детектирования для Linux-систем (всего «из коробки» доступно 187 правил корреляции и 75 поддерживаемых источников). У Alertix есть сертификат соответствия ФСТЭК №4596, действующий до 2027 года.

Alertix 3.5.0 с интегрированным агентом для Linux и Windows

22 июня 2023 года компания NGR Softlab сообщила об обновлении SIEM-системы Alertix до версии 3.5.0. Она включает улучшения основного прикладного функционала и интерфейса, оптимизацию управления приемом событий от источников и общесистемные изменения. Это позволит повысить безопасность ИТ-инфраструктуры заказчиков и увеличить эффективность работы ИБ-персонала.

В данную версию платформы Alertix интегрирован единый агент собственной разработки NGR Softlab для Linux и Windows-систем. Благодаря этому повышается удобство эксплуатации и централизованного управления конфигурацией решения, существенно расширятся возможности по сбору событий с ОС Linux.

Реализована интеграция со сканерами уязвимостей. Полученные данные пополняют базу инвентаризационной информации, а также ведется контроль появления новых уязвимостей на хостах с уведомлением о них. Среди поддерживаемых для интеграции решений — популярные сканеры российского производства.

При частом срабатывании правил корреляции результаты агрегируются в одно подозрение с последующим уведомлением аналитика ИБ. При этом все обнаруженные факты будут прикреплены к подозрению и указана частота их формирования. Это упростит работу персонала, расследующего обнаружения, и существенно сократит количество уведомлений, на которые требуется реакция.

Добавлен инструмент поддержки расследования ─ блокнот аналитика. Он поможет сократить одну из ключевых метрик эффективности центра мониторинга ─ TTC (Time-to-Contain). Блокнот ─ это система интерактивных заметок, записываемых при расследовании инцидентов или свободном поиске. Настроенные поисковые фильтры, запросы, индикаторы компрометации, ссылки и файлы объединены в едином инструменте с возможностью быстрого вызова или поиска по ним. Собранные индикаторы одним нажатием можно проверить в сервисах Whois, Virustotal и AbuseIPDB.

Добавлена поддержка загрузки файлов IOC в формате STIX. Этот стандарт описания для распространения индикаторов компрометации пополнил ранее поддерживаемые CSV-файлы. Дополнены возможности сбора индикаторов: поддерживается загрузка файлов вручную в интерфейсе платформы.

Также в данной версии Alertix добавлена возможность использования сторонней служебной СУБД PostgreSQL. Теперь при установке продукта можно указать сервер с существующей СУБД и не устанавливать ее на хост с платформой.

«
Мы проделали большую работу во время подготовки новой версии Alertix, ─ прокомментировал Дмитрий Пудов, генеральный директор NGR Softlab. ─ Были собраны пожелания партнеров и заказчиков на пилотах, что позволило детально подойти к обновлению SIEM-системы. Одна из наших ключевых задач ─ предоставить рынку решения с максимальным уровнем защищенности и отвечающие текущим трендам информационной безопасности.
»

2022

Сертификат ФСТЭК для SIEM-системы Alertix

23 ноября 2022 г российский разработчик решений по информационной безопасности NGR Softlab объявил о получении сертификата ФСТЭК на «Платформу мониторинга событий безопасности Alertix».

Иллюстрация: ngrsoftlab.ru

Платформа Alertix предназначена для сбора и обработки данных от различных источников ИТ-инфраструктуры организации, поиска нежелательных событий и инцидентов информационной безопасности.

Она включает в себя практики одного из SOC-центров России. Теперь эти технологии доступны заказчикам не только на условиях сервисной модели, но и как самостоятельный продукт, устанавливающийся внутри инфраструктуры организации.

Сертификат ФСТЭК подтверждает, что Alertix можно использовать в государственных информационных системах, на объектах критической информационной инфраструктуры, в автоматизированных системах управления производственными и технологическими процессами. В информационных системах общего пользования, обрабатывающих информацию ограниченного доступа, в том числе персональные данные и другие виды конфиденциальной информации.

Сертификат соответствия № 4596 внесен в государственный реестр системы сертификации защиты информации и действителен до 18 ноября 2027 года. Он подтверждает соответствие требованиям по безопасности информации по четвертому уровню доверия.

«
«Нами проделана большая работа в ответ на запрос наших партнеров и заказчиков. Сертификат подтверждает, что наша SIEM-система Alertix отмечена «знаком качества» и соответствует всем необходимым требованиям регулятора. Это позволит предлагать решение заказчикам и партнерам из разных сфер, чтобы обеспечивать для них выполнение требований регулятора и максимальный уровень защищенности»,- комментирует Дмитрий Пудов, генеральный директор NGR Softlab.
»

Выход обновления 3.3.1 со сниженными аппаратными требованиями

6 сентября 2022 года компания NGR Softlab сообщила о выпуске обновления 3.3.1 SIEM-системы Alertix, предназначенной для сбора, хранения событий и автоматизированного выявления и учета инцидентов ИБ.

В данной версии разработчик снизил аппаратные требования продукта и усовершенствовал процесс выявления инцидентов: добавлены возможности сервиса автоинвентаризации, обозревателя событий, улучшено управление приемом информации от различных источников данных.

Для снижения нагрузки на клиентскую инфраструктуру и увеличения производительности системы NGR Softlab почти вдвое уменьшил аппаратные требования к компонентам хранения (Data-cluster) и приемникам событий. Кроме того, добавлено динамическое определение параметров Data-cluster в момент установки и возможность масштабирования потока обработки данных в зависимости от доступных ресурсов.

В настройках сервиса, предназначенного для пополнения инвентаризационной информации и мониторинга данных, пользователи могут автоматически контролировать поступления событий от подключенных источников. Кроме того, разработчик дополнил сервис функционалом оперативных уведомлений: при нахождении нового хоста или активности в подсетях будет отправлено сообщение через интегрированные сервисы — например, через Email, Telegram или другие выбранные пользователем способы.

Для упрощения актуализации инвентаризационной информации NGR Softlab добавил настройку периода неактивности для агентов и IP-адресов, по истечении которой они удаляются из базы. На странице отображения активности в подсетях стал доступен просмотр детализации по хостам, которые обнаружил сервис автоинвентаризации в поступающих событиях.

Также улучшены UX/UI-показатели Alertix за счет пересмотра дизайна и механизмов визуализации графов запуска процессов и добавления возможности визуализации сетевых соединений, устанавливаемых операциями с файлами и реестром.

В параметрах конфигурации сервиса ГосСОПКА внедрено включение функции отслеживания новых входящих сообщений в личном кабинете и возможность использования нескольких адресов электронной почты для уведомления пользователей при получении входящих сообщений.

«
Наша компания оперативно реагирует на потребности рынка и в ответ на запросы клиентов и партнеров мы проделали работу, чтобы снизить нагрузку на ИТ-инфраструктуру и увеличить производительность. Мы стремимся предоставлять рынку лучшие с точки зрения совокупной стоимости владения решения, которые обеспечивают для наших клиентов максимальный уровень защищенности, — отметил Дмитрий Пудов, генеральный директор NGR Softlab.
»

Выход обновления 3.2.2.

6 мая 2022 года российский разработчик NGR Softlab сообщил о том, что подготовил обновление 3.2.2. для платформы Alertix. ПО предназначено для мониторинга событий ИБ, выявления инцидентов, их учета, расследования и уведомления регуляторов.

Alertix: сбор, обработка и хранение событий

Это минорное обновление, но по объему изменений масштабное: доработаны вопросы стабильности и архитектуры, внедрен сервис Anomaly Detection, улучшены UI\UX и функционал платформы.

Внедрение сервиса поведенческой аналитики Anomaly Detection класса User and Entity Behavior Analytics позволит отследить отклонения поведения пользователей, хостов и процессов от «нормального» по 46 профилям. Из обнаруженного аномального поведения пользователей возможно быстрое создание подозрения в сервисе учета инцидентов — вручную или при использовании записей об аномалиях сервисом корреляции.

Для защиты Alertix от возможных ошибок, затирания данных и повреждениях резервных копий были доработаны механизмы ротации, резервного копирования и обновления данных. Также NGR Softlab оптимизировала механизмы циклов обновлений, позволяющих сократить время администраторов Alertix и снизить вероятность ошибок.

Из пунктов обновления интерфейса можно отметить расширение возможностей поиска в обозревателе хостов, а также повышение удобства контроля фоновых задач по генерации тегов для обогащения и разметки событий и приоритезации ИТ активов. Для облегчения диагностики и удобства обращения в техподдержку «в один клик» на странице «О программе» добавлена возможность выгрузки пакета всех логов платформы (logs dump) в сжатом виде.

«
«Мы анализируем работу нашего ПО и не перестаем совершенствовать как функциональную составляющую, так и интерфейс для обеспечения нашим клиентам удобства в использовании. Важным ориентиром в работе NGR Softlab мы считаем оперативное внедрение модулей и систем выявления нелегитимных действий в инфраструктуре заказчика. Эксперты компании стремятся развивать возможности платформы и предоставлять инструменты, в ответ на видоизменяющийся ландшафт угроз»,

отметил Дмитрий Пудов, генеральный директор NGR Softlab
»

2021: Включение в Единый реестр российских программ

6 июля 2021 года стало известно о том, что решение Alertix российского разработчика ПО NGR Softlab включено в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Программному обеспечению присвоен номер 2021612428 по основному классу «Системы мониторинга и управления» и дополнительному классу «Средства поддержки принятия решений (DSS)».

Платформа Alertix представляет собой универсальный инструмент для сбора и обработки данных, поиска и автоматического сигнатурного обнаружения нежелательных событий или их комбинаций, а также визуализации динамики и значений хранимых данных. Решение может быть использовано для управления журналами ИТ-систем (LM), ИТ- и ИБ-мониторинга (SOC, NOC), поддержки процессов управления изменениями и любых других процессов, требующих поддержки принятия решений на основе данных.

Платформа Alertix проектировалась и разрабатывалась для оказания коммерческих услуг SOC по требованиям опытных аналитиков ИБ. Первичными целями разработки являлось обеспечение действительно оперативного и удобного инструментария поиска по большим массивам данных, позволяющего снизить длительность процессов расследования и сбора необходимых фактов.

«
NGR Softlab зарегистрировала все три своих продукта в Реестре отечественного ПО. Для нас это событие является важным этапом в рамках долгосрочной стратегии усиления присутствия и достижения лидерства на российском рынке ИБ-решений, на который мы ориентированы в первую очередь. Компания стремится анализировать тренды и предвосхищать потребности клиентов, противостоящих вызовам информационной безопасности, – комментирует генеральный директор NGR Softlab Дмитрий Пудов.
»



СМ. ТАКЖЕ (3)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon (Датареон) (272)
  Axelot (Акселот) (156)
  Цифра (31)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (25)
  АйТи Про (IT Pro) (21)
  Другие (288)

  Datareon (Датареон) (37)
  Axelot (Акселот) (25)
  Commvault (5)
  АйТи Про (IT Pro) (4)
  AnalyticsHub (АналитиксХаб) (2)
  Другие (35)

  Datareon (Датареон) (41)
  Axelot (Акселот) (32)
  Цифра (7)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (5)
  Софрос (Sofros) (4)
  Другие (22)

  Datareon (Датареон) (32)
  Axelot (Акселот) (19)
  Софрос (Sofros) (9)
  Naumen (Наумен консалтинг) (3)
  TData (ТДата) (3)
  Другие (32)

  Datareon (Датареон) (19)
  Axelot (Акселот) (8)
  TData (ТДата) (3)
  Первый Бит (3)
  Софрос (Sofros) (3)
  Другие (20)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon (Датареон) (2, 419)
  Цифра (2, 36)
  Axelot (Акселот) (1, 30)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (5, 26)
  Informatica (14, 21)
  Другие (307, 262)

  Datareon (Датареон) (1, 60)
  Commvault (2, 5)
  АйТи Про (IT Pro) (1, 4)
  ЮниДата (UniData) (1, 3)
  SAP SE (1, 2)
  Другие (25, 25)

  Datareon (Датареон) (1, 71)
  Цифра (1, 7)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (3, 5)
  Axelot (Акселот) (1, 5)
  Ростелеком (2, 2)
  Другие (16, 18)

  Datareon (Датареон) (1, 57)
  Axelot (Акселот) (1, 6)
  Цифра (1, 4)
  Ростелеком (3, 3)
  TData (ТДата) (3, 3)
  Другие (18, 22)

  Datareon (Датареон) (1, 31)
  Ростелеком (2, 3)
  Data Sapience (Дата Сапиенс) (2, 3)
  TData (ТДата) (2, 3)
  Axelot (Акселот) (1, 2)
  Другие (15, 16)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon Platform - 419
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 36
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 30
  HFLabs Единый клиент - 23
  АйТи Про: BI.Qube - 18
  Другие 229

  Datareon Platform - 60
  Commvault Complete Data Protection - 4
  АйТи Про: BI.Qube - 4
  ЮниДата Платформа управления данными - 3
  Alation Data Catalog - 2
  Другие 27

  Datareon Platform - 71
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 7
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 5
  Полином:MDM - 2
  HFLabs Центр управления согласиями (ЦУС) - 2
  Другие 18

  Datareon Platform - 57
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 6
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 4
  Naumen Enterprise Search - 3
  Юниверс MDM - 2
  Другие 19

  Datareon Platform - 31
  HFLabs Единый клиент - 2
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 2
  RT.Datalake Решение для хранения и обработки данных любых объемов - 2
  Data Sapience: Data Ocean Платформа управления данными - 2
  Другие 16

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (24)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (15)
  Другие (144)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  RED Security, Прикладная техника (ранее МТС RED, Серенити сайбер секьюрити) (2)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  Другие (12)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (6)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (3)
  R-Vision (Р-Вижн) (1)
  Другие (13)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 40)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 14)
  Micro Focus (5, 13)
  Другие (280, 113)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  SearchInform (СёрчИнформ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  Инфосекьюрити (Infosecurity) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 4)
  Лаборатория Касперского (Kaspersky) (3, 3)
  Русием (RuSIEM) (1, 2)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
  Другие 160

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Ngenix Облачная платформа - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  CyberART Сервисная служба киберзащиты - 4
  MaxPatrol SIEM - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  F.A.C.C.T. Attack Surface Management - 1
  Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1
  Другие 12

  СёрчИнформ SIEM - 9
  Перспективный мониторинг: Ampire Киберполигон - 4
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  MaxPatrol SIEM - 2
  Kaspersky Endpoint Detection and Response (KEDR) - 2
  Другие 12