Компания Check Point выпустила средство централизованного мониторинга событий безопасности SmartEvent, доступное как в форме "программного лезвия", так и в виде отдельной аппаратно-программной системы. SmartEvent объединяет информационные потоки, поступающие от разных компонентов системы информационной безопасности, таких как межсетевые экраны, средства предотвращения вторжений, предотвращения утечек данных и защиты конечных устройств, и, выделяя из них важнейшие события, наглядно представляет их администратору, в распоряжении которого находятся также встроенные в консоль управления инструменты реагирования.
Выявление важнейших событий производится на основе заранее запрограммированных типов событий и правил корреляции, установленных эмпирически и проверенных практикой самой Check Point, а также правил, задаваемых пользователем. Настраиваемый механизм сортировки позволяет исключать события по таким атрибутам, как источник, приемник, служба и др. События визуализируются в форме активных динамических графиков и диаграмм, позволяющих углубляться вплоть до первоисточников информации, таких как сетевые пакеты. Информация может представляться также на географических картах, позволяющих видеть области — источники и цели атак. Для облегчения анализа событий предусмотрены средства группировки данных по разным атрибутам (например, тип события, его источник, цель, пользователь, страна происхождения) и простой в использовании механизм поиска. Все это помогает выявлять тенденции в атаках и их области распространения.
SmartEvent позволяет реагировать на события, например блокировать трафик из определенных источников и применять новые правила безопасности, как вручную (с помощью встроенных элементов управления), так и автоматически, на основе правил, а также оперативно оповещает ответственных лиц о потенциально опасных событиях.
Одной из особенностей SmartEvent является возможность "интеллектуального обучения", позволяющая на основе автоматизированного сбора статистики выявлять и запоминать нормальные режимы функционирования сети, с тем чтобы быстро реагировать на отклонения.
SmartEvent поддерживает средства обеспечения безопасности не только компании Check Point, но и других производителей, однако интеграция с продуктами Check Point упрощена благодаря наличию готовых правил обработки событий и логики выявления корреляций. Для форматов журналов устройств, которые пока не поддерживаются новым средством Check Point, имеется графический парсер, позволяющий вручную разбирать и считывать информацию журнала. Информация собирается как с помощью агентов, так и без них.
Масштабируемость программных лезвий SmartEvent обеспечивается распределенной архитектурой, позволяющей размещать разные компоненты системы, такие как сервер журналов и сервер корреляции событий, на разных машинах. Аппаратно-программные системы SmartEvent под названием Smart-1 выпускаются в расчете на 5-25, 25-50 и 50-150 пользователей и рассчитаны на ежедневный объем журнальных записей 2, 10 и 25 Гбайт соответственно. Для записи журналов устройства укомплектованы дисковой памятью, соответственно в объеме 0,5, 2 и 4 Тбайт.