Nova funcionalidade do SIEM SearchInform: correlação cruzada
21.11.2019
VoltarA regra de correlação cruzada é um recurso do SIEM SearchInform que permite identificar ataques e problemas na rede, combinando eventos de diferentes fontes. Isso ajuda o auditor a configurar o sistema de busca por incidentes em um conjunto de eventos, a fim de reduzir o número de falsos positivos e identificar incidentes em situações que parecem ser eventos comuns.
Por exemplo, após efetuar login no sistema, um usuário tenta acessar o MS SQL, mas não consegue digitar a senha corretamente porque está usando a conta de outra pessoa. O serviço de correlação cruzada identifica a tentativa malsucedida de acesso ao banco de dados e informa com qual conta de usuário do Active Directory foi feita essa tentativa.
A criação de regras de correlação cruzada no SIEM SearchInform não exige que os usuários tenham conhecimento em linguagens de programação. As regras são configurados com a ajuda da interface "Assistente de criação de regras de correlação cruzada".
A identificação cruzada de dependências entre dados de diferentes fontes está disponível para sete conectores:
- SqlAuditConnector;
- ExchangeConnector;
- WinEventConnector;
- FileConnector;
- DeviceConnector;
- ProgramConnector;
- ESETConnector.
Na próxima atualização do SIEM SearchInform, será ampliado o número de fontes de eventos para correlação cruzada, o que expandirá os recursos do sistema.