GFI EventsManager - Сбор, фильтрация и анализ всех событий в сети
- Сбор Windows Events, W3C logs, Syslog, SNMP
- Тонкая настройка автоматической обработки и архивации
- Подробная отчетность, корелляция, оповещение
Обзор
Активный мониторинг узлов в сети и управление журналами событий
GFI EventsManager® - это активный мониторинг сетевых узлов и управление журналами событий в режиме реального времени. В одном продукте совмещены функции обнаружения инцидентов и автоматическое принятие мер по их устранению.
GFI EventsManager поможет Вам:
- Собрать журналы событий со всей сети, расшифровать, проанализировать, а также выполнить поиск инцидентов (SIEM).
- Настроить мониторинг узлов в сети 24/7 с широким спектром активных проверок.
- Обнаружить подозрительное поведение в сети на основе данных мониторинга и журналов событий.
Начните использовать GFI EventsManager, чтобы:
- Сократить расходы на автоматизацию управления IT.
- Увеличить продуктивность работы узлов, заблаговременного обнаруживая и исправляя проблемы.
- Повысить уровень безопасности за счет мониторинга сетевой активности и автоматического реагирования на подозрительные события.
- Довести сеть до соответствия стандартам консолидации данных журналов событий и их обработки.
Почему именно GFI EventsManager
- Система безопасности и оповещения: обнаруживает и сообщает о взломах.
- Централизация событий Syslog, W3C, Windows events, SQL и Oracle Server events, SNMP Traps от компьютеров, серверов, роутеров, маршрутизаторов, SQL Server систем, телефонных систем и т.д.
- Аудит серверов СУБД: MS SQL, Oracle, MySQL и др.
- Скорость обработки событий - более 6.000.000 записей в час.
- Поддержка виртуального окружения.
- Централизованная панель управления.
Новая версия: GFI EventsManager 2013
Централизованный сбор, анализ и консолидация журналов событий
Пользователи, сервера, рабочие станции, сетевые устройства и приложения постоянно генерируют события, которые содержат важную информацию, в журналах систем, разбросанных физически по устройствам. GFI EventsManager собирает, анализирует и сохраняет все захваченные события из журналов в защищенном файловом хранилище, а также позволяет легко управлять собранными массивами данных.
Функционал SIEM по анализу журналов событий, включая SNMP, Windows Events, события W3C, текстовые журналы, Syslog, SQL Server и Oracle audit logs
Системные администраторы часто сталкиваются с необходимостью обрабатывать огромное количество нечитабельной технической информации из системных журналов событий.
GFI EventsManager - это решение для централизованной обработки журналов событий со всей сети, их сбора, фильтрации, управления и консолидации. Поддерживаются Windows events, W3C logs, SQL Server и Oracle audit logs, Syslog. Дополнительно GFI EventsManager поддерживает Simple Network Management Protocol (SNMP) для сбора информации с сетевых узлов: роутеры, сенсоры/датчики, шлюзы, брендмауэры (firewalls), принтеры и т.д. SNMP позволяет получить самую подробную информацию о состоянии каждого устройства для своевременного диагностирования и исправления проблем. GFI EventsManager также поддерживает обычные тексовые формы представления журналов событий для соответствия форматам большого количества приложений.
Мониторинг с помощью активных проверок
С GFI EventsManager Вы можете проводить активный мониторинг, который позволяет настроить сценарии проверок для каждого узла в сети, включая как косвенные, так и прямые измерения параметров: от общей доступности узла до конкретных значений нагрузки на процессор, использования памяти, загруженности сетевого канала и т.д. в режиме реального времени. Каждая проверка может быть настроена в отдельности. Доступна возможность создания собственных проверок на основе сценариев.
Подробная отчетность, соответствующая соответствием стандартам
- Payment Card Industry (PCI DSS)
- Code of connection (CoCo)
- HIPAA
- SOX
- Использование учетных записей (выполнение входа и выхода)
- Создание, модификация и удаление файлов
- Изменение учетных записей
- Изменение политик
- Доступ к объектам
- Управление приложениями (установка, изменение, удаление)
- Использование серверов печати
- Отчеты на основе событий Windows
- Отчеты по HTTP-трафику (с систем мониторинга)
- Отчеты по трендам событий и статусам сервисов
Атомарный контроль за событиями
GFI EventsManager поставляется с большим набором предустановленных правил для автоматической обработки стандартных событий популярных операционных систем, приложений и сетевых устройств. Собранные события обрабатываются как в индивидуальном порядке, так и в корреляции с другими событиями в соответствии с применяемыми правилами обработки, включая события от различных сетевых устройств. Для упрощения администраторы могут группировать правила и события и использовать созданные группы при настройке отчетности.
Оповещения в режиме реального времени
Администратор может настроить автоматические оповещения при срабатывании правила на E-mail, по telnet, а также SMS. В случае, если проблему можно идентифицировать и решить в автоматическом режиме, администратор может назначить выполнение поставляемого с продуктом или собственного сценария, который будет запущен в случае выполнения настроенных условий. Вы узнаете о проблеме сразу, как только она будет обнаружена.
Мощная панель управления
Панель управления GFI EventsManager включает большое количество графиков и диаграмм, которые позволяют администраторам быстро получать общую картину и доступ к необходимым срезам данных.
Среди них таблица особо критичных событий, список последних сработавших правил, ТОП-10 пользователей, у которых не получилось или получилось выполнить вход вне рабочего времени, статус сервисов в сети, как много и с каких устройств было собрано событий, распределение событий Windows по категориям, статистика результатов проверок активного мониторинга и т.д.
Создание правила в один клик
Вы можете создавать собственные правила и оповещения на основе уже существующих стандартных, чтобы упростить и ускорить процесс.
Пользовательские правила складываются в отдельную категорию. Вы сможете назначить приоритет всей категории или правилам в отдельности сразу после создания.
Обнаружение и запись событий, связанных с привелегированными пользователями
GFI EventsManager может определить, было ли событие Windows создано как результат действий пользователя, который в момент события имел привелегированные права в системе, в том числе если он принадлежал группе с привелегированными правами. Дополнительно продукт может отслеживать события, связанные с изменением уровня привелегий одних пользователей другими пользователями, включая системные учетные записи. Администратор будет оповещен об этих событиях в соответствии с правилами обработки.
Сертифицирован для Windows Server 2008; поддерживает Windows 7 и 8
GFI EventsManager получил статус "Certified for Windows Server 2008 and Windows Server 2008 R2", может быть установлен на и собирать события с машин на базе ОС Windows 7, Vista и 2008 в дополнение к предыдущим версиям Windows. Не смотря на то, что события на этих ОС хранятся в формате, отличающемся от предыдущих версий, GFI EventsManager представляет все собранные события журналов в едином формате, удобном для чтения и работы.
Автоматические обновления
GFI EventsManager получает последние патчи и обновления автоматически с серверов GFI - Вы всегда будете пользоваться последней стабильной версией продукта.
Аудит соответствия для Windows
GFI EventsManager включает в себя систему проведения аудита для машин под управлением ОС Windows. Перед тем как собрать события из журнала Windows, система аудита соответствия проверит наличие отклонений в настройках безопасности машины и добавит результаты проверок в журнал событий. Такие события автоматически получат высокий статус важности, а администратор будет моментально оповещен в случае возникновения несоответствий (по правилам оповещения).
- Неактивные пользователи (доступные, но при этом неиспользуемые учетные записи).
- Неактивные хосты в домене (аналогично пользователям)
- Выключенные политики IPSec
- Выключенный Microsoft firewall
- Высокие задержки при ответе на PING
- Недостаточный объем свободного места на дисках
- и т.д.
Персональные и пользовательские данные
GFI EventsManager не занимается обработкой персональных данных - только техническая сторона работы с журнальными событиями.
Дополнительно продукт может быть настроен на сокрытие имен компьютеров и пользователей за паролем администратора продукта (анонимизация), при этом эти данные будут храниться в зашифрованном формате.
Анонимизация доступна для событий Windows Security, SQL и Oracle audit.
Автоматическое обнаружение
GFI EventsManager может быть настроен на автоматическое обнаружение доступных компьютеров в сети, а также на выгрузку такой информации напрямую с контроллера домена с определенной периодичностью. Найденные компьютеры могут быть автоматически добавлены в список машин для сбора событий.
Поддерживаемые SNMP-устройства
Управление SNMP ловушками подразумевает, что администратор знаком со специальным языком и параметрами настроек для каждого устройства, за которым нужно вести мониторинг. GFI EventsManager упрощает настройку ловушек: администратор может загрузить в продукт файл определений Management Information Base (MIB), поставляемый разработчиками устройств, чтобы импортировать настройки и "научиться" собирать с них информацию. GFI EventsManager поставляется с полной базой MIB следующих разработчиков: Cisco, 3Com, IBM, HP, Check Point, Alcatel, Dell, Netgear, SonicWall, Juniper Networks, Arbor Networks, Oracle, Symantec, Allied Telesis и т.д.
Аудит SQL Server
GFI EventsManager поддерживает аудит SQL server для всех версий (платных и бесплатных) SQL Server, включая 2000, 2005, 2008, MSDE и SQL Express. Аудит позволяет администратору отслеживать и получать отчетность по активности SQL server: запущенные задания, изменения таблиц, попытки доступа к данным без соответствующих прав и т.д.
Аудит Oracle
Многие компании используют сервера Oracle, и активность на этих серверах нужно мониторить для соответствия нормам безопасности. GFI EventsManager может обрабатывать записи об аудите серверов Oracle для версий9i, 10g, и 11g.
Работа в распределенной сети
Для того, чтобы обеспечить сбор и обработку событий в сегментированной или распределенной сети, Вы можете установить несколько копий продукта так, чтобы одни установки занимались сбором событий с машин в соответствующих сегментах, а "главная" копия занималась сбором накопленных событий с остальных установок GFI EventsManager.
Поддержка виртуальных окружений
GFI EventsManager поддерживает запуск на базе виртуальных окружений VMware, Microsoft Virtual Server и Microsoft Hyper-V.
Скриншоты
GFI EventsManager Консоль управления
GFI EventsManager Консоль быстрого запуска
Добавляет легкое в понимании описание для каждого события в сети
Централизованное хранение всех событий в сети
Оповещение в случае критических событий
