АРХИТЕКТУРА

Security Capsule SIEM не имеет ограничений по масштабированию, а также количеству подключаемых источников данных.
При необходимости, система может быть развернута в виртуальной среде. Security Capsule SIEM представляет собой систему с модульной архитектурой, включающей в себя:
Сервер сбора событий
Сервер нормализации
Сервер корреляции
Сервер агрегации
Консоль
Клиенты
Все компоненты системы при необходимости, могут быть развернуты на одном сервере.
Security Capsule SIEM Сборщик - позволяет собирать данные из различных источников. Базовый набор источников может быть дополнен. Реализует как пассивный, так и активный методы сбора событий ИБ.
Благодаря наращиванию количества сборщиков в системе достигается неограниченная масштабируемость.
Security Capsule SIEM Нормализатор - позволяет преобразовывать данные из неоднородного формата к структурированному формату.
Настройка правил нормализации осуществляется специалистами компании или специалистами Партнеров на этапе пусконаладочных работ и не требует дополнительных трудозатрат со стороны специалистов Заказчика.
Также в системе предусмотрена возможность создавать свои и вносить изменения в уже существующие правила нормализации.
Security Capsule SIEM Коррелятор – позволяет осуществлять выявление инцидентов как в режиме реального времени, так и в ретроспективе.
В системе предустановлено более 3000 правил корреляции. Предусмотрена возможность создавать свои и вносить изменения в уже существующие правила корреляции.
Настройка правил корреляции осуществляется специалистами компании или специалистами Партнеров на этапе пуско-наладки, и не требует дополнительных трудозатрат со стороны специалистов Заказчика.
Security Capsule SIEM Агрегатор - программный модуль, обрабатывающий по заданным правилам однотипные повторяющиеся события ИБ. Хранение данных осуществляется в СУБД MongoDB (NoSQL) и PostgreSQL.
Технические характеристики оборудования зависят от объемов и сроков хранения информации о событиях.