IBM Tivoli Security Operations Manager

Tivoli Security Operations Manager - рішення, що дозволяє в режимі реального часу виявляти хакерські атаки і інші загрози інформаційної безпеки підприємства.

Функції програмного продукту IBM Tivoli Security Operations Manager: 
- збір подій інформаційної безпеки від різних джерел;
- кореляція подій інформаційної безпеки;
- виявлення атак і інших погроз інформаційної безпеки в режимі реального часу;
- відображення подій інформаційної безпеки і даних про виявлені погрози в єдиній веб-консолі;
- у разі виявлення атаки, автоматичне виконання заздалегідь запрограмованих дій, спрямованих на її запобігання.

 

Програмний продукт IBM Tivoli Security Operations Manager складається з наступних основних компонентів:

  • Центральна система управління (Central Management System, CMS);
  • Модулі агрегації подій (Event Aggregation Modules, EAM);
  • Універсальний модуль збору інформації (Universal Collection Module, UCM).

Інтерфейси
Веб-консоль, що функціонує під управлінням сервера застосувань Apache Tomcat.

Звітність
IBM Tivoli Security Operations Manager оснащений вбудованим модулем побудови звітів з передвстановленими шаблонами. Є можливість створювати власні шаблони. Підтримується вивантаження звітів у форматах HTML, PDF, XML.

Використовувані стандарти і технології
- Збір подій може здійснюватися за допомогою SYSLOG, SNMP, SMTP, XML, Windows Event Logs, JDBC, OPSEC Cisco Secure POP, EStreamer;
- для вивантаження звітів використовуються формати HTML, PDF, XML;
- захист мережевих комунікацій між компонентами програмного продукту здійснюється з використанням протоколу SSL версії 2.

Підтримувані платформи
- Red Hat Enterprise Linux;
- Sun Solaris;
- IBM AIX;
- Microsoft Windows.

IBM Tivoli Security Operations Manager підтримує наступні СКБД:

  • DB2 Enterprise Server Edition V9.1;
  • Oracle Enterprise Edition 10g.

Можливості інтеграції
- Інтеграція з IBM Tivoli Compliance Insight Manager для обміну подіями інформаційної безпеки;
- двосторонній обмін даними з IBM Tivoli Netcool/OMNIbus;
- інтеграція з IBM Tivoli Identity Manager і IBM Tivoli Access Manager for e - Business для виявлення інцидентів, пов'язаних з порушенням політик надання доступу до інформаційних ресурсів підприємства;
- входить в рішення IBM Tivoli Security Information and Event Manager.

Характерні особливості і переваги
- Підтримується збір подій інформаційної безпеки більш ніж з 150 різних типів джерел (операційні системи, мережеве устаткування, Microsoft Active Directory, підсистеми безпеки підприємства, ftp - і веб-сервери, поштові сервери, СУБД, ERP - системи та ін.);
- модульна архітектура, що дозволяє розширювати систему відповідно до зростання ИТ-інфраструктури;
- можливість обробляти до 1000 подій інформаційної безпеки в секунду;
- час автоматичної реакції системи на хакерські атаки мінімально і обчислюється мілісекундами;
- дружній призначений для користувача інтерфейс, що надає різні варіанти візуалізації і фільтрації даних, що відображуються;
- можливість відстежувати географічне положення зовнішніх джерел підозрілої активності або погроз;
- відкрита архітектура, що дозволяє розробляти власні рішення для збору даних з керованих систем;
- вбудована база знань по інформаційній безпеці;
- інструментарій для вивчення хостів, що дозволяє розслідувати інциденти у сфері інформаційної безпеки, а також здійснювати пошук вразливостей в ІТ-інфраструктурі підприємства;
- наявність передвстановлених шаблонів звітів, можливість розробки призначених для користувача шаблонів;
- експорт звітів у формати HTML, PDF і XML;
- широкі можливості по розширенню функціональних характеристик за рахунок інтеграції з різними системами управління, заснованими на програмному забезпеченні IBM Tivoli.

Проблеми, що вирішуються впровадженням продукту
- несвоєчасне і малоефективне виявлення хакерських атак і інших інцидентів, пов'язаних з порушенням прийнятих в компанії політик інформаційної безпеки, відсутність можливості оперативна реагувати на подібні події;
- необхідність залучення великої кількості висококваліфікованих фахівців для досягнення необхідного рівня інформаційної безпеки;

- велика трудомісткість заходів що проводяться персоналом ІТ-підрозділів з метою забезпечення інформаційної безпеки підприємства.