Więcej niż SIEM
MED security to rozwiązanie klasy SIEM dedykowane dla placówek medycznych.
Oprócz standardowych funkcjonalności oprogramowania typu SIEM jak analiza logów systemowych, detekcja ataków i zagrożeń, zbieranie logów z wielu źródeł, monitorowanie aktywności użytkowników, monitorowanie urządzeń sieciowych: wykrywanie nieautoryzowanego dostępu, ostrzeganie przed atakami. MED Security oferuje również unikalne rozwiązanie pozwalające monitorować i analizować działanie procesów medycznych takich jak: komunikacja z platformą P1, komunikacja bramek HL7, komunikacja EWUŚ, KOWAL, AP-KOLCE, RZM, bazy danych systemu HIS.
Bezpieczeństwo 24/7
Moduł monitorowania
Moduł korelacji i analizy
Moduł raportowania
Moduł monitorowania
- Monitorowanie serwerów fizycznych.
- Monitorowanie urządzeń sieciowych.
- Monitorowanie stanu połączeń.
- Monitorowanie interfejsów sieciowych przełączników, routerów, serwerów.
- Monitorowanie maszyn wirtualnych pracujących pod kontrolą systemów operacyjnych Windows i Linux.
- Dostęp do systemu monitorowania przez panel dla urządzeń mobilnych.
- Możliwość rozbudowy systemu o monitorowanie kolejnych urządzeń.
- Automatyczne wykrywanie usług na urządzeniach, powiadamianie o wykryciu nowych usług na urządzeniu.
- Grupowanie hostów.
- Definiowanie planowanych przerw serwisowych dla hostów i usług.
- Możliwość zaznaczenia reakcji na awarię – odpowiadanie na alerty (ACK).
- Wykonywanie operacji na grupach hostów (włączenie/wyłączenie monitorowania, powiadomień; konfiguracje przerw serwisowych).
- Generowanie raportów dostępności monitorowanych urządzeń, usług i procesów biznesowych (raporty wyświetlane na stronie www).
- Monitorowanie serwerów za pomocą agentów.
- Monitorowanie serwerów aplikacji: Tomcat, Oracle WebLogic Server, Oracle Application Server.
- Monitorowanie Active Directory.
- Monitorowanie serwerów plików, udziałów sieciowych.
- Monitorowanie statusu serwerów Apache.
- Monitorowanie baz danych:
- ORACLE, MySQL, Postgress, MSSQL Server, DB2
- Monitorowanie urządzeń przez następujące protokoły: SNMP, WMI, IPMI.
- Konfigurację oprogramowania systemu monitorowania poprzez interfejs WWW.
- Monitorowanie poprawności działania DNS.
- Monitorowanie środowiska VMware.
- Monitorowanie środowiska Hyper-V.
- Monitorowanie działania serwera czasu NTP.
- Monitorowanie offsetu czasu na serwerach.
- Monitorowanie ping – czasy odpowiedzi, straty pakietów.
- Monitorowanie zajętości miejsca na poszczególnych partycjach.
- Monitorowanie obciążenia dysków.
- Monitorowanie wykorzystania pamięci RAM.
- Monitorowanie obciążenia CPU.
- Monitorowanie logów systemowych Windows.
- Monitorowanie macierzy dyskowych, status urządzenia statusów dysków urządzenia.
- Dodawanie własnych wtyczek / agentów dla urządzeń i usług, które standardowo nie są obsługiwane.
- Zgodność z wtyczkami programu Nagios służącego do monitorowania sieci, urządzeń sieciowych, aplikacji oraz serwerów działający w systemach Linux i Unix.
- Agregację usług niskiego poziomu do procesów biznesowych (tzw. Business Intelligence).
- Symulację awarii elementów infrastruktury i badanie jej wpływu na procesy biznesowe.
- Monitorowanie rozproszone (podgląd w pojedynczym panelu stanu wielu instancji monitorujących, np. z kilku lokalizacji/oddziałów).
- Wykrywanie niestabilnie działających usług.
- Monitorowanie dostępności stron internetowych.
- Konfigurację hierarchiczną (dziedziczenie konfiguracji dla grup urządzeń).
Reakcja na incydenty
- Globalne wyłączanie powiadomień.
- Powiadamianie użytkownika o problemach przez e-mail.
- Eskalację powiadomień do kolejnych użytkowników w przypadku braku reakcji na powiadomienie.
- Definiowanie przedziałów czasowych w których wysyłane są powiadomienia do poszczególnych użytkowników.
- Definiowanie różnych wartości progowych alertów na poziomie globalnym, grupy urządzeń, pojedynczych urządzeń, pojedynczych usług
Monitoring systemu HIS
- Globalne wyłączanie powiadomień.
- Powiadamianie użytkownika o problemach przez e-mail.
- Eskalację powiadomień do kolejnych użytkowników w przypadku braku reakcji na powiadomienie.
- Definiowanie przedziałów czasowych w których wysyłane są powiadomienia do poszczególnych użytkowników.
- Definiowanie różnych wartości progowych alertów na poziomie globalnym, grupy urządzeń, pojedynczych urządzeń, pojedynczych usług
Moduł korelacji i analizy
Med Security może analizować logi z aplikacji medycznych, bazy danych i systemów informatycznych w jednostkach służby zdrowia. Pozwala to na wykrywanie nieprawidłowych aktywności, prób nieautoryzowanego dostępu i innych zagrożeń, oferuje zaawansowane mechanizmy detekcji intruzów, które pozwalają na wykrywanie zaawansowanych ataków, prób wykorzystania luk w zabezpieczeniach i innych zagrożeń.
Analiza logów systemowych
- Monitorowanie plików konfiguracyjnych
- Skanowanie integralności plików
- Analiza integralności rejestru
- Analiza logów aplikacji systemowych
- Analiza logów aplikacji internetowych
- Analiza logów aplikacji na poziomie użytkownika
- Analiza logów związanych z bazami danych
- Analiza logów związanych z sieciami VPN
- Analiza logów związanych z kontami użytkowników
- Analiza logów związanych z kontami serwisowymi
- Analiza logów związanych z kontami administratorów
Detekcja ataków i zagrożeń
- Wykrywanie prób włamania się (brute-force)
- Wykrywanie prób ataku typu Man-in-the-Middle
- Wykrywanie prób zmiany lub ataku na pliki systemowe
- Wykrywanie prób wykorzystania podatności
- Wykrywanie prób ataku typu SQL injection
• Wykrywanie prób ataku typu Cross-Site Scripting (XSS) - Wykrywanie prób ataku typu zero-day
- Wykrywanie prób ataku typu buffer overflow
- Wykrywanie prób ataku typu DNS poisoning
- Wykrywanie prób ataku typu DDoS (Denial-of-Service)
Zbieranie logów z wielu źródeł:
- Zbieranie danych z systemów kontenerowych
- Zbieranie danych z systemów wirtualizacji
- Zbieranie danych z systemów kontroli wersji
- Zbieranie danych z systemów monitorowania chmury
- Reagowanie na ataki w czasie rzeczywistym
- Reagowanie na zablokowany dostęp do zasobów
- Reagowanie na niepowodzenia uwierzytelniania
- Reagowanie na zmiany uprawnień plików
- Reagowanie na podejrzane aktywności na kontach użytkowników
- Reagowanie na próby manipulacji logami zdarzeń
- Reagowanie na wykryte próby ataku typu ransomware
- Reagowanie na wykryte próby ataku typu drive-by download
- Reagowanie na próby ataku typu cryptojacking
- Reagowanie na wykryte próby ataku typu eavesdropping
- Reagowanie na wykryte próby ataku typu steganografia
- Reagowanie na wykryte próby ataku typu biometric data theft
- Zbieranie danych z platform IoT
- Zbieranie danych z urządzeń mobilnych
- Zbieranie danych z platform wirtualizacyjnych
- Zbieranie danych z platform chmurowych
- Reagowanie na wykryte ataki typu phishing
- Reagowanie na próby ataku typu Man-in-the-Middle
- Reagowanie na próby manipulacji tokenami uwierzytelniania
- Reagowanie na zmiany w konfiguracji firewalla
- Reagowanie na podejrzane aktywności administratorów
- Reagowanie na wykryte próby ataku typu data manipulation
- Reagowanie na wykryte próby ataku typu supply chain attack
- Reagowanie na wykryte próby ataku typu DNS poisoning
- Reagowanie na próby ataku typu DDoS (Distributed Denial of Service)
- Reagowanie na próby ataku typu DoS (Denial of Service)
Wsparcie dla jednostek służby zdrowia
1. Monitorowanie logów aplikacji medycznych
System SIEM może analizować logi z aplikacji medycznych, bazy danych i systemów informatycznych w jednostkach służby zdrowia. Pozwala to na wykrywanie nieprawidłowych aktywności, prób nieautoryzowanego dostępu i innych zagrożeń.
2. Detekcja ataków na systemy IT
System SIEM oferuje zaawansowane mechanizmy detekcji intruzów, które pozwalają na wykrywanie zaawansowanych ataków, prób wykorzystania luk w zabezpieczeniach i innych zagrożeń.
3. Monitorowanie integralności plików
System SIEM pozwala na monitorowanie zmian w plikach systemowych, co może być istotne dla ochrony danych medycznych i zapobiegania nieautoryzowanym zmianom.
4. Wdrażanie polityk bezpieczeństwa
System SIEM umożliwia definiowanie i egzekwowanie polityk bezpieczeństwa w organizacji, co pozwala na utrzymanie odpowiedniego poziomu bezpieczeństwa.
5. Analiza ruchu sieciowego
System SIEM oferuje funkcje analizy ruchu sieciowego, dzięki czemu można wykrywać podejrzane aktywności i ataki, takie jak próby skanowania portów czy ataki DDoS.
6. Reagowanie na incydenty
System SIEM umożliwia definiowanie i egzekwowanie polityk bezpieczeństwa w organizacji, co pozwala na utrzymanie odpowiedniego poziomu bezpieczeństwa.
7. Powiadomienia i alerty
System SIEM generuje alerty w czasie rzeczywistym, informując personel o potencjalnych zagrożeniach. Możliwe jest również konfigurowanie powiadomień e-mail lub SMS.
8. Monitorowanie logów medycznych
System SIEM może analizować logi z systemów klasy HIS (Hospital Information System), RIS (Radiology Information System) i PASC (Picture Archiving and Communication System) używanych w środowisku medycznym.
9. Wykrywanie naruszeń związanych z danymi pacjentów
Dzięki analizie logów medycznych, System SIEM może wykryć próby nieautoryzowanego dostępu do danych pacjentów, zmiany w medycznych zapisach pacjentów lub próby wykradzenia danych medycznych.
10. Ochrona danych medycznych
System SIEM umożliwia monitorowanie integralności i poufności danych medycznych, co pozwala na reagowanie na zagrożenia związane z ochroną danych medycznych i zapewnienie zgodności z przepisami regulującymi ochronę danych w sferze medycyny.
11. System monitoruje krytyczne elementy systemu HIS:
- Komunikacja z platformą P1
- Komunikacji bramek HL7
- Komunikacja EWUŚ
- Komunikacja KOWAL
- Komunikacja AP-KOLCE
- Funkcjonowanie Rejestru Zdarzeń Medycznych
- Baza danych systemu HIS
Raportowanie
