СёрчИнформ SIEM:

Выявление угроз в режиме онлайн

Алгоритм работы СёрчИнформ SIEM

siem-how-it-works

Что контролирует?

Источниками данных для «СёрчИнформ SIEM» являются:

  • Контроллеры домена Active Directory
  • Обращения к файловым ресурсам
  • Антивирусы
  • СУБД (MS SQL, Oracle и т.д.)
  • Почтовые сервера Exchange

В разработке и тестировании:

  • Журналы EventLog.
  • Агенты контроля рабочих станций.
  • Траффик, перехваченный с сетевого оборудования или Proxy-серверов.
  • Почта, перехваченная через интеграцию с почтовыми серверами.
  • Сетевое оборудование.
  • Linux и Unix сервера и рабочие станции.
  • Среды виртуализации и терминальные сервера.

Логика работы: инциденты

Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы при помощи комплексного анализа всех данных.

На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.

Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. «СёрчИнформ SIEM» стабильно и непрерывно контролирует корпоративную инфраструктуру.

Примеры готовых политик

  • Для контроллеров домена Active Directory

    • Временное переименование учетной записи.
    • Подбор паролей и устаревшие пароли.
    • Задание пароля администратором домена.
    • Временное включение или добавление учетной записи.
    • Контроль старых учетных записей AD.
    • Временная выдача прав доступа AD.

  • Для обращения к файловым ресурсам

    • Обращение к критичным ресурсам.
    • Временная выдача прав на файл.
    • Временная выдача прав на папку.
    • Большое количество пользователей, работающих с файлом.
    • Работа с определенными типами файлов.

  • Для Kaspersky Antivirus

    • Самозащита антивируса заблокировала выполнение программ.
    • Самозащита антивируса отключена.
    • Отключены антивирусные компоненты защиты.
    • Критический статус компьютера.
    • Обнаружена потенциально опасная программа.
    • Не удалось выполнить административную задачу управления.
    • Отсутствует лицензия на антивирус.
    • Изменение в составе административной группы управления.
    • Заблокированные и зараженные программы.
    • Выявлена вирусная эпидемия.

  • Для систем управления базами данных

    • Временное создание учетных данных.
    • Временное включение учетных данных.
    • Статистика изменения прав доступа.
    • Временное включение пользователя в роль безопасности БД.
    • Задание пароля учетной записи SQL администратором БД.
    • Временное переименование учетных данных.

  • Для почтовых серверов

    • Изменение параметров аудита администратора.
    • Группы ролей управления изменены.
    • Доступ к почтовому ящику не владельцем.
    • Смена владельца почтового ящика.
    • Предоставление доступа к почтовому ящику.
    • Изменение состава ролей управления.

Продукт «СёрчИнформ SIEM» обошел проблемы большинства современных SIEM-систем: он фактически предоставляет результаты «из коробки», не требует привлечения высококвалифицированных специалистов для написания правил реагирования или корректировки правил корреляции, а также грамотно и без сложностей интегрируется с существующей IT-инфраструктурой.

Попробовать бесплатно Запросить стоимость