SIEM: ¿Qué hay de nuevo?

06.05.2019

Volver

En la última actualización del SIEM, el programa para la recopilación y procesamiento de eventos en la infraestructura de tecnología informática de SearchInform, se han agregado nuevas funcionalidades y mejorado el rendimiento.

Información gráfica

La nueva versión de SearchInform SIEM cuenta con un nuevo tablero, 11 widgets con:

  • Fechas principales por el número de eventos
  • Ranking de usuarios por número de eventos
  • Copia de archivos a dispositivos extraíbles
  • Eventos Syslog
  • Uso de cuentas
  • Detección de virus en la computadora (Kaspersky Internet Security)
  • Detección de virus en la computadora (Symantec Endpoint Protection)
  • Detección de virus en la computadora (McAfee Internet Security)
  • Detección de virus en la computadora (Eset Smart Security)
  • Cantidad de eventos por fecha
  • Intentos de inicio de sesión

La representación gráfica de la información de los "puntos críticos", simplifica el análisis de la situación, y el Drill Down, (capacidad de "profundizar" en los detalles del incidente), le permite moverse rápidamente a los eventos sin procesar.

Información General

Se ha agregado a la larga lista de conectores con los que el SearchInform SIEM hace integración: un conector para las bases de datos PostgreSQL.

Lista de reglas disponibles:

  • Creación de un rol o usuario
  • Eliminación de un rol o usuario
  • Eventos de activación del usuario
  • Eventos de exclusión del usuario
  • Cambio de nombres en los roles o el usuario
  • Cambio de los atributos de un rol o el usuario
  • Adición de permisos a un rol o usuario
  • Exclusión de permisos de un rol o usuario
  • Errores de autenticación del usuario
  • Errores durante la operación de PostgreSQL

El WinEventConnector tiene dos nuevas reglas. El bloqueo de usuarios permite rastrear acciones en las cuentas de Active Directory. La configuración de usuario permite al administrador establecer sus propias restricciones para los registros de Windows y el identificador de eventos.

Usted podrá conocer en detalle la funcionalidad de SearchInform SIEM aquí.
 
También en la nueva versión, se implementó la búsqueda por archivos de la base de datos, para facilitar las investigaciones.
 
Escaneo de red

Un ajuste más preciso de la exploración de redes y puertos reduce el volumen de informes diarios, permitiendo que el operador del sistema pueda concentrarse en los puntos principales. La exclusión de elementos innecesarios de la investigación permite la rápida obtención de los resultados de la verificación y respuestas inmediatas a las amenazas.