СЁРЧИНФОРМ SIEM

IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ОС сервера и ПК, базы данных, сетевые экраны, антивирусы, приложения, Active Directory, Exchange. Любые события в этих системах «логируются» (протоколируются). Однако без автоматизированного инструмента отследить, проанализировать все события и оперативно отреагировать на них не представляется возможным.

«СёрчИнформ SIEM» решает эту проблему: приложение собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. Сложный механизм работы SIEM сводится к довольно простому алгоритму:

• Сбор событий с разных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
• Приведение разнородных данных к общему виду.
• Анализ данных и выявление угроз.
• Фиксация инцидентов и оповещение в реальном времени.

Источниками данных для «СёрчИнформ SIEM» являются:

• Контроллеры домена Active Directory;
• Обращения к файловым ресурсам;
• Активность пользователей;
• Почтовые серверы Exchange;
• Антивирус Kaspersky;
• СУБД (MS SQL);
• Syslog аппаратных устройств и приложений;
• DLP «КИБ СёрчИнформ».

В разработке и тестировании:

• Траффик, перехваченный с сетевого оборудования или Proxy-серверов;
• Среды виртуализации и терминальные серверы;
• Почта, перехваченная через интеграцию с почтовыми серверами;
• NetFlow (выявление подозрительной сетевой активности, DDoS-атак и т.д.);
• Динамические дашборды;
• Расширение списка антивирусов, СУБД и почтовых серверов.

Логика работы: инциденты

Работа с SIEM подразумевает обработку огромного количества событий с автоматическим объединением инцидентов в цепочки, что позволяет выявить угрозы при помощи комплексного анализа всех данных.

На входе продукт получает перечень самых разнообразных событий, а на выходе дает комплексные и обоснованные выводы: статистику, оповещения об аномалиях, сбоях, попытках несанкционированного доступа, отключениях средств защиты, вирусах, подозрительных транзакциях, утечках и т.д. При этом задача системы: уменьшить время реагирования на эти инциденты.

Алгоритмы поиска инцидентов используют различные методы – начиная с проверки соответствия существующим стандартам ИБ и заканчивая интеллектуальным алгоритмом поиска статистических аномалий. «СёрчИнформ SIEM» стабильно и непрерывно контролирует корпоративную инфраструктуру.

Примеры готовых политик

Для контроллеров домена ACTIVE DIRECTORY 

• Временное переименование учетной записи.
• Подбор паролей.
• Несколько учетных записей на одном ПК.
• Задание пароля администратором домена.
• Устаревшие пароли.
• Статистика входов в систему.
• Одна учетная запись на нескольких ПК.
• Смена пароля пользователем.
• Временное включение учетной записи.
• Временное добавление учетной записи в группу.
• Устаревшие учетные записи AD.
• Временная выдача прав доступа AD.
• Создание временной учетной записи.
• Операции над учетной записью.
• Изменение состава критичных групп пользователей.
• Использование служебных учетных записей сотрудника.
• Очистка журнала событий пользователем.
• Изменение политики аудита.

Для обращения к файловым ресурсам

• Временная выдача прав на файл/папку.
• Обращение к критичным ресурсам.
• Большое количество пользователей, работающих с файлом.
• Работа с определенными типами файлов.
• Статистика изменений прав доступа к файлам/папкам.

Для MS SQL

• Временное создание учетных данных MS SQL.
• Временное включение учетных данных MS SQL.
• Статистика изменения прав доступа MS SQL.
• Временное включение пользователя в роль безопасности БД.
• Задание пароля учетной записи SQL администратором БД.
• Временное переименование учетных данных MS SQL.

Для антивируса KASPERSKY

• Самозащита антивируса заблокировала выполнение программ.
• Самозащита антивируса отключена.
• Отключены антивирусные компоненты защиты.
• Критический статус компьютера.
• Обнаружена потенциально опасная программа.
• Не удалось выполнить административную задачу управления.
• Отсутствует лицензия на антивирус.
• Изменение в составе административной группы управления.
• Заблокированные и зараженные программы.
• Выявлена вирусная эпидемия.

Для EXCHANGE

• Изменение параметров аудита администратора.
• Группы ролей управления изменены.
• Предоставление доступа к почтовому ящику.
• Изменение статуса почтового ящика.
• Изменение состава ролей управления.
• Доступ к почтовому ящику не владельцем.

По активности пользователей

• Активность вне рабочего времени.
• Активность давно отсутствующего пользователя.

Для SYSLOG

• Собственные правила Syslog.
• События ядра операционной системы.
• События пользовательского уровня.
• События почтовых систем.
• События системных демонов.
• События безопасности и авторизации.
• Внутренние события Syslog.
• События протокола построчной печати.
• События новостного протокола.
• События подсистем UUCP.
• События сервисов времени.
• События FTP демонов.
• События подсистем NTP.
• События журналирования.
• Предупреждения журналирования.
• События сервисов планирования.
• Другие события.
• События «КИБ СёрчИнформ».

Продукт «СёрчИнформ SIEM» обошел проблемы большинства современных SIEM-систем: он фактически предоставляет результаты «из коробки», не требует привлечения высококвалифицированных специалистов для написания правил реагирования или корректировки правил корреляции, а также грамотно и без сложностей интегрируется с существующей IT-инфраструктурой.