Nova versão do SIEM SearchInform: suporte ao Linux e mapa de incidentes

22.11.2017

A última versão da solução SIEM SearchInform fornece controle total sobre eventos de segurança em servidores e terminais que executam o sistema operacional Linux. O mapa de incidentes proporciona aos profissionais de TI e de SI acesso a informações reais e continuamente atualizadas sobre os ativos e o status do "ecossistema" corporativo.

O sistema de monitoramento e análise de eventos de segurança do SIEM SearchInform, vem com um conjunto de regras que automatiza a auditoria de atividades suspeitas na infraestrutura de TI. A última versão do sistema SIEM contém novas políticas de segurança pré-definidas para servidores e estações de trabalho Linux.

A versão atualizada da SIEM SearchInform notifica os acessos de usuários com privilégios root (superusuário), tentativas de autorização malsucedidas e erros SSH. O sistema assume o controle da criação e atribuição de direitos às contas de usuários, registra alterações de senhas e muito mais.

Entre as regras adicionadas, estão os filtros para eventos de segurança do servidor de e-mail Postfix "coletados" em sistemas operacionais tipo Unix. Políticas de segurança pré-estabelecidas notificam as tentativas de autenticação malsucedidas, acessos a partir de fontes desconhecidas, eventos com um usuário desconhecido, erros de conexão SSL e outros eventos suspeitos.

A nova versão da SIEM SearchInform inclui regras para a auditoria de operações com arquivos e diretórios de servidores FTP vsftpd - o kernel FTP oficial do Linux. Das 73 regras adicionadas na última versão da SIEM SearchInform, 45 controlam sistemas Linux.

O SIEM SearchInform está equipado com novas fontes e políticas de segurança para eventos nos servidores HTTP com o software multiplataforma Apache, ambiente de virtualização VMware, servidores Oracle, dispositivos de rede Cisco, dispositivos de segurança de rede integrados FortiGate.

“Na fase inicial de desenvolvimento da nossa ferramenta SIEM, nos concentramos na criação de regras para eventos de segurança de sistemas aplicados, desenvolvendo conectores para soluções técnicas de proteção, sistemas de autenticação e autorização. À medida que se desenvolve, o sistema recebe cada vez mais fontes de eventos, – afirma Dmitry Gatsura, chefe do departamento de desenvolvimento da SearchInform. – Na Rússia, as empresas privadas e, especialmente, as estruturas governamentais, por várias razões, estão em transição para sistemas operacionais nacionais, criados, justamente, com base em sistemas operacionais abertos. Portanto, é lógico que após isso os agentes de controle do nosso sistema SearchInform DLP comecem a trabalhar sob diferentes distribuições do sistema operacional Linux, nós detalhamos o Syslog e agora nosso SIEM “identifica” os logs do Linux”.

Além disso, os desenvolvedores aperfeiçoaram a funcionalidade do SIEM SearchInform com um mapa visual de incidentes, que mostra o estado do sistema corporativo instantaneamente. O mapa interativo mostra os servidores, usuários e computadores da empresa, assim com o número de incidentes. Ao selecionar um usuário ou computador específico no relatório, o profissional de TI ou de SI poderá, com apenas um clique, acessar a descrição da ameaça e as regras detalhadas, através das quais o incidente foi detectado.