Журнал "Information Security/ Информационная безопасность" #4, 2023

В SIEM от "СёрчИнформ" есть даш- борд с редактируемыми виджетами (в системе 12 типов шаблонов). Их можно тонко настроить: выбрать отчет- ный период, частоту обновлений, источ- ник данных, коннекторы, правила и/или пользователей, по которым система показывает данные, а также вид графи- ческого представления (круговая диа- грамма, график, гистограмма и т.п.). Благодаря гибким настройкам отчетов, основываясь на имеющихся шаблонах, можно настроить сотни уникальных вид- жетов для каждой ситуации, требующей отдельного мониторинга. И в итоге ИБ- специалист увидит полную картину в удобном для него формате. В 2023 г. в "СёрчИнформ SIEM" появился функционал, который позво- ляет не только выявлять, но и устранять угрозы, – запуск автоматической реак- ции на инциденты. ИБ-специалист может прописать сценарий действий, который запустит в SIEM устранение угрозы. Эта возможность встроена прямо в интер- фейс системы. Например, если идет брутфорс (под- бор методом перебора) пароля значимой учетной записи (главбуха или директо- ра), SIEM может автоматически запу- стить скрипт, который осуществит бло- кировку данной учетной записи, давая время службе ИБ выяснить обстоятель- ства и принять адекватные меры. Выполнить требования регуляторов Есть целый ряд требований регулято- ров, которые обязывают организации отслеживать определенные события в ИТ-инфраструктуре. Одно из таких тре- бований – мониторинг входов в учетную запись и распределения прав доступа. "СёрчИнформ SIEM" осуществляет подобный мониторинг в автоматическом режиме, основываясь на готовых (пред- установленных, комплектных) правилах корреляции – в системе их встроено около 400. К таким требованиям относятся, напри- мер, технические меры, перечисленные в ГОСТ Р 57580.1–2017. В данном ГОСТе указана необходимость контроля неза- блокированных учетных записей, уста- новления фактов неиспользования прав на осуществление логического доступа, регистрация данных о событиях защиты от различных ИС (информационных систем) и пр. Для реализации значимой части списка данных требований "Сёрч- Информ SIEM" выступает в качестве основного инструмента, а для многих прочих – в качестве дополнительного. Кроме того, "СёрчИнформ SIEM" отве- чает требованиям регуляторов в части готовности к контролю импортозаме- щенной инфраструктуры – поддерживает множество отечественных источников, ПО и оборудования. Из последних обновлений: "СёрчИнформ SIEM" интегрирована в систему с сетевым шлюзом безопасно- сти VipNet от отечественного произво- дителя "ИнфоТекс", а также совместима с промышленным компьютером ELEUM 02.450.2U.R от "РАДИУС IT". Проводить расследования и составлять отчетность Таск-менеджер с "СёрчИнформ SIEM" – удобный функционал для расследования инцидентов: специалист по безопасности может координировать процесс, не под- ключая дополнительные инструменты, такие как Jira, CRM или Сonfluence. Таск-менеджер позволяет отследить жизненный цикл инцидента, объединить в одно расследование несколько собы- тий, назначить ответственных сотрудни- ков ИБ-отдела, а также присвоить ста- тусы хода расследования, добавлять комментарии и подводить итоги. По результатам расследований можно соз- давать новые правила кросс-корреля- ции. Из таск-менеджера "СёрчИнформ SIEM" можно экспортировать отчеты об инцидентах в ГосСОПКА. Это упрощает взаимодействие с регулятором компа- ниям, которые попадают под действие Федерального закона "О безопасности критической информационной инфра- структуры Российской Федерации". Контролировать работоспособность оборудования На одного системного администратора в компа- нии, как правило, может приходиться 20–30 единиц оборудования, которое нуждается в постоянном мониторинге. Важно отслеживать его работоспособ- ность, настройки конфигурации, обнов- ления. "СёрчИнформ SIEM" позволяет все это мониторить одновременно, а также выявлять значения, выходящие за рамки допустимого. Например, в системе есть готовые правила корреляции, которые помогают заказчику контролировать обо- рудование Cisco (отказ системы охлаж- дения, ошибки питания, ошибки марш- рутизации, изменение конфигурации). В "СёрчИнформ SIEM" встроен сканер сети, который визуализирует ИТ-инфра- структуру – компьютеры, роутеры, свит- чи, принтеры и прочее оборудование. С его помощью администратор системы без труда обнаружит открытые порты и отследит попытки нелегитимного под- ключения новых устройств. Сканер использует данные из девяти баз уязви- мостей, включая базу ФСТЭК России, и выдает информацию по актуальным угрозам, связанным с каждым элемен- том корпоративной сети. В "СёрчИнформ SIEM" реализован мониторинг работоспособности ПО. К примеру, многие компании возлагают большие надежды на антивирусную защиту, особенно когда необходимо сни- зить риски механических утечек из-за вирусов и т.п. SIEM оповещает, если антивирусная защита отключена, и таким образом снижает риски ИБ. Попробуйте "СёрчИнформ SIEM" бес- платно: вендор предоставит ПО без ограничений по пользователям и функ- циональности на 30 дней. l • 17 SIEM www.itsec.ru Рис. 3. Блокирование учетной записи по скрипту Рис. 4. Встроенная форма отчета в НКЦКИ АДРЕСА И ТЕЛЕФОНЫ компании "СЁРЧИНФОРМ" см. стр. 70 NM Реклама