Последнее обновление 15.05.2024

Леший

Ключевая ценность

«Леший» — это отечественная SIEM-система (Security Information and Event Management), разработанная для централизованного сбора, нормализации и анализа событий информационной безопасности, обеспечивающая полный контроль над цифровым периметром организации.
«Леший» использует продвинутые алгоритмы корреляции для выявления сложных, многоэтапных атак, которые остаются незамеченными иными средствами защиты. Это единый центр управления инцидентами, позволяющий не только собирать информацию со всей инфраструктуры, но и своевременно реагировать на выявляемые аномалии.
Система решает проблему «слепоты» в инфраструктуре и предоставляет инструменты для быстрого расследования инцидентов. «Леший» становится фундаментом безопасности для компаний, стремящихся к технологическому суверенитету.

Основные возможности

1. Сбор и нормализация данных
  • Универсальные коннекторы — поддержка сбора логов из десятков источников: ОС (Windows, Linux, MacOS), сетевого оборудования (роутеры, коммутаторы), других средств защиты (DLP, Antivirus, FW/NGFW), отдельных сервисов (WEB, СУБД, VPN) и бизнес-приложений. Система автоматически приводит разнородные данные к единому стандарту, пригодному для дальнейшего анализа и хранения.
  • Сбор и нормализация событий в реальном времени — обработка потоков событий различных форматов с высокой скоростью без потери данных. Сбор может осуществляться как с помощью агентов (NxLog), так и без них. При безагентном методе сбор может осуществляться с использованием различных протоколов (Syslog, CEF, JSON, HTTP)
  • Обогащение событий контекстом — автоматическое добавление метаданных к событиям (от геолокации IP до информации о сотруднике из AD и 1с), для упрощения дальнейшего анализа и снижения времени реагирования на инциденты.
2. Движок корреляции событий
  • Готовые правила корреляции — библиотека из сотен предустановленных правил для обнаружения действий злоумышленника на всех этапах проведения атаки (от разведки периметра до компрометации инфраструктуры) , соответствующих лучшим мировым практикам.
  • Индивидуальные запросы — гибкий язык запросов позволяет специалистам безопасности создавать собственные сценарии обнаружения угроз, специфичных для бизнес-процессов компании.
  • Глубокие запросы – благодаря оптимизации процесса поиска событий, система предоставляет возможность проводить ретроспективную проверку событий глубиной до нескольких месяцев за считанные минуты.
3. Интеграция с Threat Intelligence
  • Поиск известных IoC в инфраструктуре – модуль работы с различными TI-базами позволяет системе проводить поиск известных IoC в инфраструктуре, повышая видимость актуальных на данный момент атак.
4. Отчетность и соответствие
  • Дашборды безопасности — настраиваемые виджеты для отображения ключевых метрик безопасности в реальном времени.
  • Хранение логов — обеспечение неизменности и долгосрочного хранения событий для нужд расследований и аудита (до 3 лет и более в зависимости от настроек).

Для кого предназначен

Команды SOC и ИБ:
  • Аналитики безопасности — для ежедневного мониторинга событий, расследования инцидентов и охоты за угрозами. Интерфейс оптимизирован для быстрой работы с большими данными.
  • Руководители ИБ — для получения объективной картины рисков, контроля эффективности средств защиты и подготовки отчетности перед советом директоров.
Отрасли применения:
  • Финансовый сектор — критическая необходимость соответствия стандартам ЦБ РФ и защиты от целевых атак на банковскую инфраструктуру.
  • Промышленность и энергетика — мониторинг событий в АСУ ТП и корпоративном сегменте, предотвращение саботажа и промышленного шпионажа.
  • Телекоммуникации и ритейл — обработка огромных объемов событий от распределенной сети филиалов и клиентского оборудования.

Преимущества

Скорость обнаружения
  • Сокращение времени жизни угрозы благодаря корреляции событий из разрозненных источников, атака обнаруживается на этапе разведки или первичного проникновения в инфраструктуру.
  • Высокая производительность обработки событий (EPS), позволяющая масштабировать систему по мере роста бизнеса без потери скорости отклика.
Технологический суверенитет
  • Полная независимость от зарубежных вендоров. «Леший» включен в реестр отечественного ПО, что гарантирует отсутствие санкционных рисков и скрытых закладок.
  • Локальное развертывание — все данные обрабатываются внутри контура заказчика, что соответствует требованиям по защите персональных данных.
Удобство эксплуатации
  • Интуитивный интерфейс, не требующий длительного обучения персонала.
  • Гибкая настройка под нужды бизнеса без необходимости привлечения разработчиков для написания сложных скриптов.

Технические особенности

  • Архитектура — микросервисная архитектура, обеспечивающая отказоустойчивость и возможность горизонтального масштабирования компонентов (сбор, хранение, анализ).
  • Хранение данных — использование высокопроизводительных СУБД (например, ClickHouse или OpenSearch) для быстрого поиска по терабайтам логов.
  • Интеграция — REST API для двустороннего обмена данными с тикет-системами (ServiceNow, Jira), системами оркестрации и внешними базами угроз.
  • Безопасность самой системы — ролевая модель доступа (RBAC), двухфакторная аутентификация, шифрование каналов связи и хранимых данных.

Бизнес-результаты

  1. Снижение рисков финансовых потерь — предотвращение успешных кибератак и утечек данных, которые могут привести к репутационным и прямым финансовым убыткам.
  2. Снижение рисков финансовых потерь — предотвращение успешных кибератак и утечек данных, которые могут привести к репутационным и прямым финансовым убыткам.
  3. Повышение эффективности SOC — автоматизация рутины позволяет аналитикам сосредоточиться на сложных расследованиях, а не на ручном сборе логов.
  4. Полная видимость инфраструктуры — понимание того, что происходит в сети в каждый момент времени, включая действия привилегированных пользователей.
  5. Сокращение времени реагирования (MTTR) — благодаря повышению видимости аномалий и покрытию всей инфраструктуры, время от момента обнаружения угрозы до её нейтрализации сокращается в разы..

Обратная связь

Для обратной связи используйте электронную почту: leshiy_support@technocat.team
О компании
Реквизиты
Услуги
Информационная безопасностьИТ-инфраструктураИнжиниринг сетей связи
Наши продукты
AiCensusЛеший
© 2026OOO ТЕХНОКОТВсе права защищены.
Политика конфиденциальности|Пользовательское соглашение