Новшества в «СёрчИнформ SIEM»: карта сети, разграничение доступа и дополнительные параметры списков исключений

25.06.2018

Вернуться к списку новостей

Карта сети

В «СёрчИнформ SIEM» появился новый функциональный раздел – сканер сети с визуализацией в виде графа. Дашборд наглядно представляет количество компьютеров, принтеров, серверов, маршрутизаторов и других устройств в сети.

Сканер собирает данные об именах, IP- и MAC-адресах, операционных система и других характеристиках объектов. Информация об обнаруженных устройствах и открытых на них портах отображается на карте сети и дублируется списком.

Карта дает возможность оперативно следить за подключением и отключением устройств в сети.

Права доступа

В обновленной версии SIEM-системы реализована возможность разграничить права сотрудников отделов ИТ и ИБ с разными зонами ответственности и уровнем доступа. Детализация позволяет распределять права: на вход в консоль управления и ее настройку; просмотр вкладок, карты инцидентов и карты сети; на изменение настроек коннекторов и списков исключений; на архивирование баз данных.

Настройка «белых» и «черных» списков

Настройки списков исключений дополнились новыми параметрами: компьютер, внутренний пользователь SQL, IPv4- и IPv6-адрес. Списки исключений по компьютерам могут применяться к правилам для контроллеров Windows, MS SQL, баз данных, активности пользователей и устройств.

Новые правила для событий MS SQL

В последней версии продукта появились два новых правила для коннектора MS SQL:

  • Правило «Операции над учетными записями» фиксирует создание/удаление, включение/отключение и переименования учетных записей MS SQL.
  • Правило «Изменение серверных ролей» следит за созданием/удалением, переименованием, добавлением/удалением пользователей, а также сменой владельца серверных ролей.

Правила дополнили набор готовых правил «СёрчИнформ SIEM», которые автоматизируют аудит подозрительной активности в ИТ-инфраструктуре.

Теги в уведомлениях об инцидентах

Еще одно нововведение в «СёрчИнформ SIEM» дает возможность добавить дополнительный тег к теме уведомления об инциденте. Теги детализируют, по какому правилу сформирован инцидент. Механизм сокращает время принятия решения: увидев тему письма с тегом, офицер безопасности сможет быстро оценить, насколько важен инцидент и какой реакции требует оповещение.


СёрчИнформ SIEM Обновления


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними