Novos conectores do SIEM SearchInform
05.10.2017
VoltarO SIEM SearchInform ganhou novas fontes de eventos e políticas para dispositivos externos conectados, servidores Oracle, ambiente de virtualização, dispositivos de rede Cisco e dispositivos de segurança de rede integrados FortiGate.
As políticas predefinidas para dispositivos conectados registram:
- cópias para dispositivos removíveis;
- operações com arquivos executáveis no dispositivo;
- execução de arquivos a partir de um dispositivo removível;
- cópia de grande número de arquivos/volume de dados para um dispositivo removível.
O conector Oracle fornece a leitura das tabelas dos bancos de dados e logs dos servidores Oracle de acordo com as seguintes regras:
- tentativas bem-sucedidas/malsucedidas de acesso ao sistema;
- criação/eliminação de usuários ou funções;
- bloqueio/desbloqueio de usuários;
- alteração de senha dos usuários;
- eventos Listener.
As políticas pré-configuradas para o ambiente de virtualização incluem:
- eventos de entrada/saída VMview;
- eventos de entrada/saída VMware;
- senhas incorretas;
- tentativas de acesso malsucedidas;
- criação de funções/grupos de usuários;
- alteração de senha dos usuários;
- criação/eliminação de usuários e outros.
O conjunto de regras para eventos de dispositivos de rede Cisco levam em consideração:
- eventos de entrada/saída;
- acesso com uma conta interna;
- acesso com privilégios elevados;
- digitação de comandos;
- falha de energia;
- erros de roteamento e outros.
O conector FortiGate garante a coleta de dados dos eventos dos dispositivos de segurança de rede integrados, incluindo eventos dos logs de dados Anomaly, App, AV, DLP, E-mail, Event e outros.
A lista de conectores e regras é atualizada continuamente. No primeiro semestre de 2018, a solução SIEM SearchInform ganhará novas fontes de eventos, incluindo, por exemplo, dispositivos de controle de tamanho, detectores de ameaças e invasões, servidores web, plataformas PUM para o controle de contas privilegiadas. Planeja-se também a expansão da lista de firewalls, antivírus e servidores de e-mail suportados. No total, em um futuro próximo, 15 novos conectores e mais de 100 regras serão atualizadas na solução SIEM SearchInform e estarão aptos para o funcionamento logo após a instalação do sistema.