Система мониторинга и анализа событий безопасности «СёрчИнформ SIEM» поставляется с готовым набором правил, которые автоматизируют аудит подозрительной активности в ИТ-инфраструктуре. Новая версия SIEM-системы дополнена предустановленными политиками безопасности для Linux-серверов и рабочих станций.
Обновленная «СёрчИнформ SIEM» предупреждает о входе в систему с правами суперпользователя (правами root), неудачных попытках авторизации, ошибках SSH. Система берет под контроль создание и назначение прав учетным записям, регистрирует изменения паролей и многое другое.
Среди добавленных правил – фильтры для событий безопасности почтовых серверов Postfix, которые «собираются» в Unix-подобных системах. Предустановленные политики безопасности предупредят о неудачных попытках аутентификации, входах из неизвестных источников, событиях с неизвестным пользователем, ошибках SSL-соединений и других подозрительных событиях.
Новая версия «СёрчИнформ SIEM» включает правила для аудита операций с файлами и директориями FTP-серверов vsftpd – официальном FTP ядра Linux. Из 73 правил, добавленных в последнем релизе «СёрчИнформ SIEM», 45 – контролируют Linux-системы.
«СёрчИнформ SIEM» дополнена новыми источниками и политиками безопасности для событий HTTP-серверов с кроссплатформенным ПО Apache, среды виртуализации VMware, серверов Oracle, сетевых устройств Cisco, устройств комплексной сетевой безопасности FortiGate.
«На начальном этапе развития нашей SIEM мы сфокусировались на создании правил для событий безопасности прикладных систем, разрабатывали коннекторы для технических средств защиты, систем аутентификации и авторизации. По мере развития система получает все больше источников событий, – комментирует начальник отдела разработки «СёрчИнформ» Дмитрий Гацура. – В России частные компании и особенно государственные структуры по разным причинам переходят на отечественные ОС, созданные как раз на базе открытых операционных систем. Поэтому логично, что после того, как агенты контроля нашей DLP-системы «КИБ СёрчИнформ» стали работать под разными дистрибутивами ОС Linux, мы детализировали Syslog и теперь наша SIEM «слушает» логи Linux».
Кроме того, разработчики дополнили функциональность «СёрчИнформ SIEM» наглядной картой инцидентов, которая отражает состояние корпоративной системы в текущий момент времени. На интерактивной карте отображаются серверы, пользователи и ПК компании с количеством инцидентов. Выбрав в «дайджесте» конкретного пользователя или компьютер, ИТ или ИБ-специалист сможет в один клик перейти к развернутым правилам, по которым зафиксирован инцидент, и описанию угрозы.