Правила кросс-корреляции – это функционал SIEM, который позволяет выявлять атаки и неполадки в сети с помощью сопоставления событий из нескольких источников. Это помогает пользователю тонко настроить систему на поиск инцидентов в связке событий, чтобы сократить количество ложных сработок и выявить инцидент в том, что кажется рядовым событием.
Например, пользователь авторизовался в системе, а затем попытался войти в MS SQL, но не смог правильно ввести пароль, потому что использовал чужую учетную запись. Сервис кросс-корреляции выявит факт неудачной попытки входа в БД и подскажет, под какой учеткой Active Directory была выполнена такая попытка.
[insert name="insert-try"]
Создание правил кросс-корреляции в «СёрчИнформ SIEM» не требует от пользователей опыта чтения и написания скриптов на языках программирования. Правила настраиваются через интерфейс «Мастера создания правил кросс-корреляции».
Перекрестное выявление зависимостей между данными из разных источников пока доступно для семи коннекторов:
В ближайшем релизе число источников событий для кросс-корреляции будет увеличено, что расширит возможности системы.
