SIEM в картинках: что стало с системой после весенних релизов?
06.05.2019
Вернуться к списку новостейВ обновленной программе для сбора и обработки событий в ИТ-инфраструктуре улучшена производительность и расширен функционал.
Визуальные «эффекты»
В новой версии «СёрчИнформ SIEM» появился дашборд с 11 виджетами:
- топ дат по количеству событий;
- топ пользователей по количеству событий;
- копирование файлов на съемные устройства;
- события Syslog;
- использование учетных записей;
- обнаружение вирусов на ПК (Kaspersky Internet Security);
- обнаружение вирусов на ПК (Symantec Endpoint Protection);
- обнаружение вирусов на ПК (McAfee Internet Security);
- обнаружение вирусов на ПК (Eset Smart Security);
- количество событий по датам;
- попытки входа.
Наглядная подача информации из «горячих точек» упрощает анализ ситуации, а Drill Down (возможность просмотреть детали инцидента) позволяет оперативно переходить к сырым событиям.
Общий сбор
К длинному списку коннекторов, с которыми «сотрудничает» «СёрчИнформ SIEM», добавлен коннектор к базам данных PostgreSQL. Список доступных правил:
- создание роли или пользователя;
- удаление роли или пользователя;
- события включения пользователя;
- события выключения пользователя;
- переименование роли или пользователя;
- изменение атрибутов роли или пользователя;
- добавление прав доступа роли или пользователю;
- удаление прав доступа роли или пользователя;
- ошибки аутентификации пользователя;
- ошибки при работе с PostgreSQL.
А у WinEventConnector'a появилось два новых правила. Блокировка пользователей позволяет отслеживать действия с учетными записями Active Directory. Пользовательское правило дает возможность администратору вводить собственные ограничения для журнала Windows и ID событий.
Изучить функционал «СёрчИнформ SIEM» в деталях можно здесь.
Также в новой версии реализован поиск по архивам баз данных, что помогает в расследованиях.
Сканер сети
Более точная настройка сканирования сетей и портов сокращает объем ежедневных репортов, так что специалист может сосредоточиться на главном. Исключение из проверки ненужных элементов позволяет быстрее получать результат сканирования и реагировать на угрозы оперативно.