SIEM в картинках: что стало с системой после весенних релизов?

06.05.2019

Вернуться к списку новостей

В обновленной программе для сбора и обработки событий в ИТ-инфраструктуре улучшена производительность и расширен функционал.

Визуальные «эффекты»

В новой версии «СёрчИнформ SIEM» появился дашборд с 11 виджетами:

  • топ дат по количеству событий;
  • топ пользователей по количеству событий;
  • копирование файлов на съемные устройства;
  • события Syslog;
  • использование учетных записей;
  • обнаружение вирусов на ПК (Kaspersky Internet Security);
  • обнаружение вирусов на ПК (Symantec Endpoint Protection);
  • обнаружение вирусов на ПК (McAfee Internet Security);
  • обнаружение вирусов на ПК (Eset Smart Security);
  • количество событий по датам;
  • попытки входа.

Наглядная подача информации из «горячих точек» упрощает анализ ситуации, а Drill Down (возможность просмотреть детали инцидента) позволяет оперативно переходить к сырым событиям.

Виджет SIEM

Виджет SIEM

Виджет SIEM

Общий сбор

К длинному списку коннекторов, с которыми «сотрудничает» «СёрчИнформ SIEM», добавлен коннектор к базам данных PostgreSQL. Список доступных правил:

  • создание роли или пользователя;
  • удаление роли или пользователя;
  • события включения пользователя;
  • события выключения пользователя;
  • переименование роли или пользователя;
  • изменение атрибутов роли или пользователя;
  • добавление прав доступа роли или пользователю;
  • удаление прав доступа роли или пользователя;
  • ошибки аутентификации пользователя;
  • ошибки при работе с PostgreSQL.

А у WinEventConnector'a появилось два новых правила. Блокировка пользователей позволяет отслеживать действия с учетными записями Active Directory. Пользовательское правило дает возможность администратору вводить собственные ограничения для журнала Windows и ID событий.


Изучить функционал «СёрчИнформ SIEM» в деталях можно здесь.


Также в новой версии реализован поиск по архивам баз данных, что помогает в расследованиях.

Сканер сети

Более точная настройка сканирования сетей и портов сокращает объем ежедневных репортов, так что специалист может сосредоточиться на главном. Исключение из проверки ненужных элементов позволяет быстрее получать результат сканирования и реагировать на угрозы оперативно.

Сканер сети SIEM

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними