Новая версия «СёрчИнформ SIEM» обеспечивает инцидент-менеджмент в Linux-средах

Компания «СёрчИнформ», российский разработчик инструментов информационной безопасности, представила новый релиз SIEM-системы. Свежая версия «СёрчИнформ SIEM» обеспечивает полноценный инцидент-менеджмент в Linux-средах. Карта инцидентов открывает ИТ и ИБ-специалистам доступ к актуальной, непрерывно обновляемой информации об активах и состоянии корпоративной «экосистемы».

Целостность и безопасность данных в корпоративной «экосистеме» напрямую зависит от возможности ИБ-специалистов своевременно отслеживать и блокировать угрозы. Вручную вести мониторинг миллионов событий, которые ежедневно регистрируются в ИТ-инфраструктуре невозможно. Система сбора и анализа событий безопасности «СёрчИнформ SIEM» поставляется с готовым набором правил, которые автоматизируют аудит подозрительной активности в корпоративной ИТ-инфраструктуре.

Новая версия SIEM-системы дополнена предустановленными политиками безопасности для Linux-серверов и рабочих станций. «СёрчИнформ SIEM» регистрирует неудачные попытки авторизации пользователей, создание и назначение прав учетным записям, изменение паролей, операции с файлами и директориями FTP, события почтовых серверов, основанных на ядре Linux, и другие события.

Адаптация SIEM-системы для Linux поможет обеспечить полноценный аудит и управлениями событиями безопасности в компаниях, которые выстраивают корпоративную инфраструктуру на основе ПО с открытым кодом. В первую очередь, это малый и средний бизнес, который при выборе ИТ и ИБ-компонентов ориентируется не только на функциональность, но и стоимость решений.

«В России частные компании и особенно государственные структуры по разным причинам переходят на отечественные ОС, созданные как раз на базе открытых операционных систем. Поэтому логично, что после того, как агенты контроля нашей DLP-системы „КИБ СёрчИнформ“ стали работать под разными дистрибутивами ОС Linux, мы детализировали Syslog и теперь наша SIEM „слушает“ логи Linux, — прокомментировал начальник отдела разработки „СёрчИнформ“ Дмитрий Гацура. — На начальном этапе развития нашей SIEM мы сфокусировались на создании правил для событий безопасности прикладных систем, разрабатывали коннекторы для технических средств защиты, систем аутентификации и авторизации. По мере развития система получает все больше источников событий».

Сбор и анализ событий на платформах Linux обеспечивают 45 из 73 правил, добавленных в последнем релизе «СёрчИнформ SIEM». Новые источники и политики безопасности разработаны для событий HTTP-серверов с кроссплатформенным ПО Apache, среды виртуализации VMware, серверов Oracle, сетевых устройств Cisco, устройств комплексной сетевой безопасности FortiGate.

Для комфортной работы ИТ и ИБ-специалистов с расширенным набором источников разработчики дополнили функциональность «СёрчИнформ SIEM» наглядной картой инцидентов. Она отражает состояние корпоративной системы в текущий момент времени. Интерактивный граф отображает серверы, пользователей и ПК компании с количеством инцидентов. Выбрав в «дайджесте» конкретного пользователя или компьютер, ИТ или ИБ-специалист сможет в один клик перейти к развернутым правилам, по которым зафиксирован инцидент, и описанию угрозы. Ясная визуализация и навигация сокращают время между обнаружением угрозы и реакций на инцидент, а также упрощают предоставление руководству отчетов о текущем состоянии защиты информационных активов компании.