SearchInform SIEM:

La detección de amenazas en tiempo real

Algoritmo del funcionamiento de SearchInform SIEM

Que controla?

Los fuentes de datos para SearchInform SIEM son:

  • Los controlers del dominio Active Directory;
  • Solicitudes a recursos de archivos;
  • Actividad de los usuarios;
  • Las servidoras de correo Exchange;
  • Anti-virus Kaspersky;
  • MS SQL;
  • Syslog de dispositivos y aplicaciones;
  • SearchInform DLP.

Lógica del trabajo: incidentes

Trabajo con SIEM supone procesamiento de la cantidad grande de los eventos varios con consolidación automática en las cadenas, lo que permite revelar las amenazas mediante el análisis complejo de todos los datos.

En la puerta el producto recibe la lista de varios eventos, en la salida da las conclusiones complejas y argumentadas: estadística, alertas sobre anomalías, interrupciones, intentos del acceso no autorizado, mientras los medios de defensa están desactivados, sobre los virus, transacciones sospechosas, fugas, etc. Mientras tanto las tareas del sistema son siguientes: disminuir el tiempo necesario para reacción del sistema a ciertos incidentes.

Los algoritmos de la detección de los incidentes utilizan varios medios – desde verificación de la

сonformidad con las normas de seguridad informática, y hasta el algoritmo intelectual de la búsqueda de anomalías estáticas. SearchInform SIEM controla la infraestructura corporativa de manera estable y continua.

Políticas predefinidas de SearchInform SIEM

  • Para controladores de dominio Active Directory

    Cambio de nombre temporal de la cuenta.
    Búsqueda de combinaciones para la contraseña.
    Múltiples cuentas de usuario en solo equipo.
    Establecimiento de contraseña por el administrador del dominio.
    Contraseñas obsoletas.
    Estadística de acceso.
    Una cuenta en múltiples computadoras.
    Cambio de la contraseña por el usuario.
    Activación temporal de una cuenta de usuario.
    Adición temporal de la cuenta de usuario a un grupo.
    Cuentas de usuario AD anticuadas.
    Expedición temporal de derechos de acceso AD.
    Creación de cuenta de usuario temporal.
    Operaciones con sobre las cuentas.
    Modificación de la membresía de los grupos críticos de usuarios.
    Uso de cuentas de servicio.
    Limpieza del registro de eventos del usuario.
    Modificación de la política de auditoría.

  • Para operaciones sobre archivos

    Expedición temporal de permisos para un archivo/carpeta.
    Acceso a los recursos críticos.
    Gran cantidad de usuarios que trabajan con el archivo.
    Trabajo con tipos determinados de archivos.
    Estadística de modificaciones de derechos de acceso a los archivos/carpetas.

  • Para MS SQL

    Creación temporal de cuentas MS SQL.
    Activación temporal de cuentas MS SQL.
    Cambios estadísticos de permisos de acceso a MS SQL.
    Inclusión temporal del usuario en el rol de seguridad de BD.
    Establecimiento de contraseña de la cuenta de usuario por el administrador SQL de BD.
    Cambio de nombre temporal de la cuenta de MS SQL.

  • Para el antivirus Kaspersky

    Bloqueó de ejecución de programas por la autoprotección del antivirus.
    Autoprotección del antivirus deshabilitado.
    Componentes de protección del antivirus deshabilitado.
    Ordenador en estado crítico.
    Detección de programa potencialmente dañino.
    Falla al realizar una tarea administrativa de gestión.
    Antivirus sin licencia.
    Cambios de membresía en el grupo administrador.
    Programas bloqueados e infectados.
    Epidemia de virus detectada.

  • Para Exchange

    Modificación de los parámetros de auditoría del administrador.
    Grupos de roles de gestión modificados.
    Concesión de acceso al buzón de correos.
    Modificación del propietario del buzón de correos.
    Cambios en el conjunto de los roles de gestión.
    Acceso al buzón de correos por otro usuario.

  • De actividad de usuarios

    Actividad fuera del tiempo laboral.
    Actividad de un usuario ausente por un largo periodo de tiempo.

  • Para Syslog

    Reglas propias de Syslog.
    Eventos del núcleo del sistema operativo.
    Eventos de nivel de usuario.
    Eventos de sistemas de correo.
    Eventos de servicios del sistema.
    Eventos de seguridad y autorización.
    Eventos internos de Syslog.
    Eventos del protocolo de impresión progresiva.
    Eventos del protocolo de noticias.
    Eventos de subsistemas UUCP.
    Eventos de servicios de tiempo.
    Eventos de servicios FTP.
    Eventos de subsistemas NTP.
    Registro de eventos de auditoría.
    Registro de eventos de alertas.
    Eventos de servicios de planificación.
    Otros eventos.
    Eventos de SearchInform DLP.

La solucion SearchInform SIEM ha pasado los problemas de la mayoría de los sistemas SIEM modernos: de hecho representa los resultados de «caja», no requiere subcontratación de terceras partes calificadas para completar las normas de reacción y adaptación de reglas de correlación , ademas adecuadamente y sin complicaciones se integra con una infraestructura IT existente.

probar gratis descubrir el coste