Добро пожаловать
в поддержку NGR Softlab!

Компания NGR Softlab осуществляет поддержку следующих публичных версий Alertix:
3.8.х – текущая версия продукта
3.7.х – предыдущая версия продукта
3.2.1 – сертифицированная версия

В составе продукта предоставляется набор правил корреляции, дашбордов, шаблонов отчетов и коннекторов. Количество и состав постоянно пополняется за счет использования продукта в ядре услуг SOC наших партнеров. Правила корреляции распространяются через облачное хранилище.

Мы используем информацию от внешних систем. Существуют как автоматические методы сбора информации, такие как подключение к KSC, сбор из потока netflow, API и скрипты, так и ручные, путем загрузки CSV или результатов работы сканеров безопасности. Планов по разработке собственной системы класса ITAM/CMDB пока нет.

Система поддерживает как агентский сбор, упрощающий работу с ненормализованными данным, так и безагентский WEC и Syslog.

Серверную часть Alertix можно установить на ОС:

• Ubuntu 
• Astra Linux SE 
• Ред ОС

Также в ближайшее время будет доступна поддержка ОС SberLinux.

В качестве СУБД и системы поиска по событиям ИБ мы используем OpenSearch. Версия OS обновляется вместе с обновлением Платформы и может незначительно отставать от актуальной. Самостоятельное управление конфигурацией OS и обновление не предусмотрено.

Вносить изменения в стандартные парсеры нельзя, но вы можете выгрузить файл post_filter.conf и добавить необходимые операции в части парсинга по конкретному хосту или типу источника.

Написать свои парсеры для источников данных вы можете. В этом случае для IP-адреса источника необходимо установить тип Custom, после чего обрабатывать его события через конфигурационный файл post_filter.conf. Для парсеров используется синтаксис конфигурации Logstash.

Вы можете развернуть WEC-коллектор и настроить передачу событий на него. На хосте с WEC устанавливается единственный агент. В составе платформы присутствует встроенный WEC ресивер, который не требует лицензии на ОС Windows.

Alertix определяет наличие поступающего потока от конкретных хостов по протоколу syslog, даже если этот источник не добавлен в Платформу. Такие источники могут быть быстро подключены и требуют только ручного выбора коннектора. Автоматического распознавания конкретного источника и применения коннектора не предусмотрено.

Поддерживается использование резидентного способа (например, zabbix agent) или сбор метрик и логов с использованием API Платформы.

Для каждого источника в Alertix может быть задана своя длительность хранения и правила архивирования. Кроме того, отдельные индексы можно дополнительно защитить от ротации даже в случае переполнения диска.

Подсистема контроля состояния непрерывно отслеживает поступление событий от источников, если это задано в настройках. Доверенный период отсутствия событий может быть настроен отдельно для каждого источника вплоть до отдельного хоста Windows.

Вы можете сохранять принимаемые события в сыром виде, выделяя и нормализуя только поле времени без какой-либо другой обработки. Или использовать автоматическое определение полей и приведение к модели данных ECS. Коррелятор позволяет осуществлять поиск в том числе по сырым событиям с использованием Regexp и Wildcard. Это позволяет разрабатывать правила корреляции для любых структур данных.

Платформа позволяет подключить внешнее хранилище на базе Elasticsearch или Opensearch и сделать данные доступными для подсистем визуализации и корреляции. По подключенным данным возможен поиск, динамическое наполнение списков, работа правил корреляции после адаптации под структуру хранения в подключенном хранилище и визуализация.

Да, на уровне ресиверов возможна отправка (пересылка) как в нормализованном виде, так и сырых событий сторонним получателям. Поддерживается отправка в Opensearch / Elasticsearch, Clickhouse, хранилище S3, в файл и по протоколу syslog.

Есть ряд готовых интеграций «из коробки» для отправки с использованием API конечных решений, в том числе в российские IRP / SOAR решения (push). Поддерживается интеграция с любым решением с использованием API Alertix (pull). Кроме того, возможно сохранение информации об инцидентах в файл сразу после обнаружения или отправка с использование webhook.

Alertix предоставляет полнофункциональный Rest API, с помощью которого доступны все функции платформы. Доступ к API требует предварительной аутентификации. Описание API публикуется на каждой инсталляции в swagger UI и обновляется вместе с платформой.

В правилах есть необязательные к заполнению атрибуты привязки к техникам и тактикам MITRE ATT&CK. Все поставляемые «из коробки» правила привязаны к соответствующим техникам и тактикам. На текущий момент степень покрытия базовым набором правил составляет 40% от всех техник MITRE Enterprise v14.1. Более подробную информацию о правилах можно получить в файле по запросу.

Alertix поддерживает установку агента для сбора данных на большинство российских ОС (проверена совместимость с Astra Linux различных исполнений и ALT linux, Ред ОС, также в ближайшее время будет запущена поддержка SberLinux). Для аутентификации и импорта сведений о ресурсах поддерживаются любые LDAP совместимые службы каталогов, в том числе отечественные. Платформа «из коробки» поддерживает интеграцию с RedCheck, XSpider, KSC и MaxPatrol для загрузки сведений об уязвимостях и пополнения сведений об ИТ-активах. Из коннекторов к источникам событий Alertix поддерживает более 20 российских решений. Полный перечень поддерживаемых источников может быть предоставлен в файле по запросу.

Срок хранения воркспейсов (подозрений, инцидентов, атак и ложноположительных срабатываний) не ограничен, т. к. их количество и объем информации незначительны в сравнении с объемами хранимых событий. Воркспейсы (все поля) можно выгружать в виде отчетов вручную и по расписанию в табличном виде.

Компания NGR Softlab осуществляет поддержку следующих публичных версий Infrascope:
1.3.2.1 - текущая сертифицированная версия продукта

Выбор способа лицензирования всегда зависит от инфраструктуры: в одном случае выгоднее лицензировать конечные устройства, в другом — конкурентные сессии пользователей. Точно определить, какая схема подойдет наилучшим образом, можно по результатам пилотного проекта.

Да, поддерживается. В качестве второго фактора может использоваться СМС или стороннее приложение для аутентификации.

Без дополнительных настроек Infrascope поддерживает подключение к большому количеству СУБД, среди которых Oracle, MS SQL, MySQL, PostgreSQL, Cassandra, Teradata, SAP HANA и др.

SFTP, RDP, SSH, VNC, Telnet, HTTP/HTTPS.

Infrascope устанавливается “в разрыв” между привилегированными пользователями и целевыми системами, к которым требуется предоставить доступ.

Есть несколько способов: пилотный проект нашими силами, тестирование продукта в нашей инфраструктуре, самостоятельная установка через OVA-образ. Если вы заинтересованы в пробном использовании Infrascope, свяжитесь с нами по телефону: +7 (495) 269-29-59.

Русский и английский.

AD, OpenLDAP, SAPMv2, Radius, TACACS+.

Компания NGR Softlab осуществляет поддержку следующих публичных версий Dataplan:
2.1 - текущая версия продукта
2.0 - предыдущая версия продукта

Продукт был протестирован на множестве источников, в том числе и нестандартных. Да, можно.

Отказоустойчивость обеспечивается за счет кластеризации компонента хранения, СУБД конфигураций по принципу active-passive и механизмов мониторинга и переключения между узлами кластера по триггерам.

Да, реализовано гранулярное разграничение ко всем функциям с возможностью создания собственных ролей. Доступ к хранимым данным может регулировать как на уровне видимости отдельных столбцов, таблиц и БД, так
и с применением функционала маскирования данных.

Dataplan использует современное хранилище Clickhouse от Яндекс, предназначенное специально для хранения больших данных и работы над ними. Стандартное сжатие данных, позволяет уменьшить объем памяти хранимых данных почти в 4 раза.

Платформа позволяет проводить анализ данных без привлечения специалистов, владеющих алгоритмами Machine Learning.

В составе приложения поставляется демонстрационный набор из 20 профилей и датасетов для их работы, чтобы облегчить обучение функциям продукта.

Платформа успешно функционирует в среде Asta Linux, выполняется тестирование работы в среде Alt Linux.

Dataplan успешно выполняет поиск нарушителей в изолированных сегментах инфраструктур заказчиков.

Сможете, установка производится с помощью одного скрипта, а также есть подробные инструкции по установке продукта.

Нет, он может собирать, обрабатывать и агрегировать абсолютно любую информацию. Это могут быть структурированные логи приложений/системы/пользователей либо неструктурированные серии данных.

Да. Если что-то пошло не так, Dataplan уведомит о неисправности и покажет ее.

Да, компоненты продукта размещаются в Docker-контейнерах.