Nueva versión de SearchInform SIEM: soporte de Linux y mapa de incidentes
22.11.2017
VolverLa última versión de la solución SIEM SearchInform proporciona control total sobre eventos de seguridad en servidores y terminales que ejecutan el sistema operativo Linux.
El mapa de incidentes proporciona a los profesionales de TI y de Seguridad Informática acceso a informaciones reales y continuamente actualizadas sobre los activos y el estado del "ecosistema" corporativo.
El sistema de monitoreo y análisis de eventos de seguridad SIEM de SearchInform, viene con un conjunto de reglas que automatiza la auditoría de actividades sospechosas en la infraestructura de TI.
La última versión de SearchInform SIEM contiene nuevas políticas de seguridad predefinidas para servidores y estaciones de trabajo de Linux.
La versión actualizada de SearchInform SIEM notifica los accesos de los usuarios con privilegios de administrador, intentos fallidos de autorización y errores de SSH.
El sistema toma el control sobre la creación y asignación de derechos a las cuentas de usuarios, registra los cambios en las contraseñas y mucho más.
Entre las reglas adicionales se encuentran los filtros para los eventos de seguridad del servidor de correo Postfix que se "recopilan" en sistemas operativos tipo Unix.
Las políticas de seguridad preinstaladas notifican los intentos de autenticación incorrectos, accesos de fuentes desconocidas, eventos con un usuario desconocido, errores de conexión SSL y otros eventos sospechosos.
La nueva versión de SearchInform SIEM incluye reglas para auditar operaciones con archivos y directorios de servidores FTP vsftpd, el kernel FTP oficial de Linux.
De las 73 reglas agregadas en la última versión de SearchInform SIEM, 45 controlan sistemas Linux.
SearchInform SIEM está dotado de nuevas fuentes y políticas de seguridad para eventos en los servidores HTTP con software de multiplataforma Apache, entorno de virtualización VMware, servidores Oracle, dispositivos de red Cisco y dispositivos de seguridad de red integrados FortiGate.
"En la etapa inicial de desarrollo de nuestra herramienta SIEM, nos enfocamos en crear reglas para eventos de seguridad de los sistemas de aplicaciones, desarrollando conectores para soluciones técnicas de protección, sistemas de autenticación y autorización.
A medida que el sistema se desarrolla, recibe cada vez más fuentes de eventos ", dice Dmitry Gatsura, jefe del departamento de desarrollo de SearchInform. – En Rusia, las empresas privadas y especialmente las agencias gubernamentales por diferentes razones se están moviendo hacia sistemas operativos locales, creados a partir de la base de sistemas operativos abiertos.
Por lo tanto, es lógico que después de esto los agentes de control de nuestro sistema SearchInform DLP comiencen a trabajar bajo diferentes distribuciones del sistema operativo Linux, detallamos el Syslog y ahora nuestro SIEM "identifica" los ingresos de Linux".
Además, los desarrolladores perfeccionaron la funcionalidad de SearchInform SIEM con un mapa visual de incidentes que refleja el estado del sistema corporativo instantáneamente.
El mapa interactivo muestra los servidores, usuarios y las computadoras de la empresa así como la cantidad de incidentes. Al seleccionar un usuario o dispositivo específico en el informe, el especialista en seguridad informáticas podrá con un solo clic acceder a la descripción de las amenazas y las reglas con las que se define y registra el incidente.