Novos conectores do SIEM SearchInform

05.10.2017

Back to news

O SIEM SearchInform ganhou novas fontes de eventos e políticas para dispositivos externos conectados, servidores Oracle, ambiente de virtualização, dispositivos de rede Cisco e dispositivos de segurança de rede integrados FortiGate.

As políticas predefinidas para dispositivos conectados registram:

  • cópias para dispositivos removíveis;
  • operações com arquivos executáveis no dispositivo;
  • execução de arquivos a partir de um dispositivo removível;
  • cópia de grande número de arquivos/volume de dados para um dispositivo removível.

O conector Oracle fornece a leitura das tabelas dos bancos de dados e logs dos servidores Oracle de acordo com as seguintes regras:

  • tentativas bem-sucedidas/malsucedidas de acesso ao sistema;
  • criação/eliminação de usuários ou funções;
  • bloqueio/desbloqueio de usuários;
  • alteração de senha dos usuários;
  • eventos Listener.

As políticas pré-configuradas para o ambiente de virtualização incluem:

  • eventos de entrada/saída VMview;
  • eventos de entrada/saída VMware;
  • senhas incorretas;
  • tentativas de acesso malsucedidas;
  • criação de funções/grupos de usuários;
  • alteração de senha dos usuários;
  • criação/eliminação de usuários e outros.

O conjunto de regras para eventos de dispositivos de rede Cisco levam em consideração:

  • eventos de entrada/saída;
  • acesso com uma conta interna;
  • acesso com privilégios elevados;
  • digitação de comandos;
  • falha de energia;
  • erros de roteamento e outros.

O conector FortiGate garante a coleta de dados dos eventos dos dispositivos de segurança de rede integrados, incluindo eventos dos logs de dados Anomaly, App, AV, DLP, E-mail, Event e outros.

A lista de conectores e regras é atualizada continuamente. No primeiro semestre de 2018, a solução SIEM SearchInform ganhará novas fontes de eventos, incluindo, por exemplo, dispositivos de controle de tamanho, detectores de ameaças e invasões, servidores web, plataformas PUM para o controle de contas privilegiadas. Planeja-se também a expansão da lista de firewalls, antivírus e servidores de e-mail suportados. No total, em um futuro próximo, 15 novos conectores e mais de 100 regras serão atualizadas na solução SIEM SearchInform e estarão aptos para o funcionamento logo após a instalação do sistema.