В «СёрчИнформ SIEM» реализована кросс-корреляция

21.11.2019

Вернуться к списку новостей

Правила кросс-корреляции – это функционал SIEM, который позволяет выявлять атаки и неполадки в сети с помощью сопоставления событий из нескольких источников. Это помогает пользователю тонко настроить систему на поиск инцидентов в связке событий, чтобы сократить количество ложных сработок и выявить инцидент в том, что кажется рядовым событием.

Например, пользователь авторизовался в системе, а затем попытался войти в MS SQL, но не смог правильно ввести пароль, потому что использовал чужую учетную запись. Сервис кросс-корреляции выявит факт неудачной попытки входа в БД и подскажет, под какой учеткой Active Directory была выполнена такая попытка.

Попробовать бесплатно продукты «СёрчИнформ»

 

Создание правил кросс-корреляции в «СёрчИнформ SIEM» не требует от пользователей опыта чтения и написания скриптов на языках программирования. Правила настраиваются через интерфейс «Мастера создания правил кросс-корреляции». 

Мастер создания правил кросс-корреляции в СёрчИнформ SIEM

Перекрестное выявление зависимостей между данными из разных источников пока доступно для семи коннекторов:

  • SqlAuditConnector;
  • ExchangeConnector;
  • WinEventConnector;
  • FileConnector;
  • DeviceConnector;
  • ProgramConnector;
  • ESETConnector.

В ближайшем релизе число источников событий для кросс-корреляции будет увеличено, что расширит возможности системы.


СёрчИнформ SIEM Обновления


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними