Nova funcionalidade do SIEM SearchInform: correlação cruzada

21.11.2019

Voltar

A regra de correlação cruzada é um recurso do SIEM SearchInform que permite identificar ataques e problemas na rede, combinando eventos de diferentes fontes. Isso ajuda o auditor a configurar o sistema de busca por incidentes em um conjunto de eventos, a fim de reduzir o número de falsos positivos e identificar incidentes em situações que parecem ser eventos comuns.

Por exemplo, após efetuar login no sistema, um usuário tenta acessar o MS SQL, mas não consegue digitar a senha corretamente porque está usando a conta de outra pessoa. O serviço de correlação cruzada identifica a tentativa malsucedida de acesso ao banco de dados e informa com qual conta de usuário do Active Directory foi feita essa tentativa.

A criação de regras de correlação cruzada no SIEM SearchInform não exige que os usuários tenham conhecimento em linguagens de programação. As regras são configurados com a ajuda da interface "Assistente de criação de regras de correlação cruzada".

A identificação cruzada de dependências entre dados de diferentes fontes está disponível para sete conectores:

  • SqlAuditConnector;
  • ExchangeConnector;
  • WinEventConnector;
  • FileConnector;
  • DeviceConnector;
  • ProgramConnector;
  • ESETConnector.

Na próxima atualização do SIEM SearchInform, será ampliado o número de fontes de eventos para correlação cruzada, o que expandirá os recursos do sistema.

Inscreva-se aqui para receber notícias, artigos e white papers.