Nueva función de SearchInform SIEM: correlación cruzada

21.11.2019

Volver

Las reglas de correlación cruzada, nueva funcionalidad de SIEM, que permite identificar ataques y problemas de red mediante la coincidencia de eventos de múltiples fuentes. Esto ayuda al usuario a ajustar el sistema para buscar incidentes en una cadena de eventos para reducir la cantidad de falsos positivos e identificar un incidente en lo que parece ser un evento ordinario.

Por ejemplo, un usuario inició sesión en el sistema y luego intentó iniciar sesión en MS SQL, pero no pudo ingresar la contraseña correctamente, porque estaba usando la cuenta de otra persona. El servicio de correlación cruzada revela un intento fallido de ingresar a la base de datos e identifica cuál fue la cuenta de Active Directory usada para ese intento.

La creación de reglas de correlación cruzada en SearchInform SIEM no requiere experiencia previa con los scripts en diferentes lenguajes de programación. Las reglas se configuran a través del "asistente de reglas de correlación cruzada".

La revelación cruzada de dependencias entre los datos de diferentes fuentes está disponible para siete conectores:

  • SqlAuditConnector;
  • ExchangeConnector;
  • WinEventConnector;
  • FileConnector;
  • DeviceConnector;
  • ProgramConnector;
  • ESETConnector.

En la próxima versión, se incrementará el número de fuentes de eventos para la correlación cruzada, lo que ampliará las capacidades del sistema.