«СёрчИнформ SIEM» дополнена новыми источниками событий и политиками для подключаемых внешних устройств, серверов Oracle, среды виртуализации, сетевых устройств Cisco и устройств комплексной сетевой безопасности FortiGate.

Предустановленные политики для подключаемых устройств фиксируют:

• копирование на съемное устройство;
• операции с исполняемыми файлами на устройстве;
• выполнение файла со съемного устройства;
• копирование большого числа файлов/объема данных на съемное устройство.

Коннектор Oracle обеспечивает чтение таблиц баз данных и логов серверов Oracle по следующим правилам:

• удачные/неудачные попытки входа в систему;
• создание/удаление пользователя или роли;
• блокировка/разблокировка пользователя;
• изменение пароля пользователя;
• события Listener.

Готовые политики для среды виртуализации включают:

• события входа/выхода VMview;
• события входа/выхода VMware;
• неправильные пароли;
• неудачные попытки входа;
• создание роли/группы пользователей;
• смена пароля пользователя;
• создание/удаление пользователей и другие.

Набор правил для событий сетевых устройств Cisco учитывает:

• события входа/выхода;
• вход под встроенной учетной записью;
• вход с повышенными привилегиями;
• ввод команд;
• ошибки питания;
• ошибки маршрутизации и другие.

Коннектор FortiGate обеспечивает сбор событий устройств комплексной сетевой безопасности, включая события журналов Anomaly, App, AV, DLP, Email, Event и другие.

Список коннекторов и правил пополняется непрерывно. В первом полугодии 2018 года «СёрчИнформ SIEM» дополнится новыми источниками событий, включая, например, контрольно-весовые аппараты, детекторы угроз и вторжений, веб-сервера, PUM-платформы для контроля за привилегированными учетными записями. Планируется также расширить список поддерживаемых межсетевых экранов, антивирусов и почтовых серверов. Всего в ближайшее время в «СёрчИнформ SIEM» появится 15 новых коннекторов и более 100 правил, готовых к работе сразу после установки системы.