СёрчИнформ SIEM:

Выявление угроз в режиме онлайн

Алгоритм работы СёрчИнформ SIEM

siem-how-it-works

Что контролирует?

Источниками данных для «СёрчИнформ SIEM» являются:

  • Контроллеры домена Active Directory;
  • Обращения к файловым ресурсам;
  • Активность пользователей;
  • Почтовые серверы Exchange;
  • Антивирус Kaspersky;
  • СУБД (MS SQL);
  • Syslog аппаратных устройств и приложений;
  • DLP «КИБ СёрчИнформ».

В разработке и тестировании:

  • Траффик, перехваченный с сетевого оборудования или Proxy-серверов;
  • Среды виртуализации и терминальные серверы;
  • Почта, перехваченная через интеграцию с почтовыми серверами;
  • NetFlow (выявление подозрительной сетевой активности, DDoS-атак и т.д.);
  • Динамические дашборды;
  • Расширение списка антивирусов, СУБД и почтовых серверов.

Логика работы: инциденты

Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы при помощи комплексного анализа всех данных.

На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.

Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. «СёрчИнформ SIEM» стабильно и непрерывно контролирует корпоративную инфраструктуру.

Примеры готовых политик

  • Для контроллеров домена Active Directory

    Временное переименование учетной записи.
    Подбор паролей.
    Несколько учетных записей на одном ПК.
    Задание пароля администратором домена.
    Устаревшие пароли.
    Статистика входов в систему.
    Одна учетная запись на нескольких ПК.
    Смена пароля пользователем.
    Временное включение учетной записи.
    Временное добавление учетной записи в группу.
    Устаревшие учетные записи AD.
    Временная выдача прав доступа AD.
    Создание временной учетной записи.
    Операции над учетной записью.
    Изменение состава критичных групп пользователей.
    Использование служебных учетных записей сотрудника.
    Очистка журнала событий пользователем.
    Изменение политики аудита.

  • Для обращения к файловым ресурсам

    Временная выдача прав на файл/папку.
    Обращение к критичным ресурсам.
    Большое количество пользователей, работающих с файлом.
    Работа с определенными типами файлов.
    Статистика изменений прав доступа к файлам/папкам.

  • Для MS SQL

    Временное создание учетных данных MS SQL.
    Временное включение учетных данных MS SQL.
    Статистика изменения прав доступа MS SQL.
    Временное включение пользователя в роль безопасности БД.
    Задание пароля учетной записи SQL администратором БД.
    Временное переименование учетных данных MS SQL.

  • Для антивируса Kaspersky

    Самозащита антивируса заблокировала выполнение программ.
    Самозащита антивируса отключена.
    Отключены антивирусные компоненты защиты.
    Критический статус компьютера.
    Обнаружена потенциально опасная программа.
    Не удалось выполнить административную задачу управления.
    Отсутствует лицензия на антивирус.
    Изменение в составе административной группы управления.
    Заблокированные и зараженные программы.
    Выявлена вирусная эпидемия.

  • Для Exchange

    Изменение параметров аудита администратора.
    Группы ролей управления изменены.
    Предоставление доступа к почтовому ящику.
    Изменение статуса почтового ящика.
    Изменение состава ролей управления.
    Доступ к почтовому ящику не владельцем.

  • По активности пользователей

    Активность вне рабочего времени.
    Активность давно отсутствующего пользователя.

  • Для Syslog

    Собственные правила Syslog.
    События ядра операционной системы.
    События пользовательского уровня.
    События почтовых систем.
    События системных демонов.
    События безопасности и авторизации.
    Внутренние события Syslog.
    События протокола построчной печати.
    События новостного протокола.
    События подсистем UUCP.
    События сервисов времени.
    События FTP демонов.
    События подсистем NTP.
    События журналирования.
    Предупреждения журналирования.
    События сервисов планирования.
    Другие события.
    События «КИБ СёрчИнформ».

Продукт «СёрчИнформ SIEM» обошел проблемы большинства современных SIEM-систем: он фактически предоставляет результаты «из коробки», не требует привлечения высококвалифицированных специалистов для написания правил реагирования или корректировки правил корреляции, а также грамотно и без сложностей интегрируется с существующей IT-инфраструктурой.

Попробовать бесплатно Запросить стоимость