Обновление «СёрчИнформ SIEM»: импорт данных из базы ФинЦЕРТ
Компания «СёрчИнформ» представила обновление своей SIEM-системы. Теперь «СёрчИнформ SIEM» поддерживает автоматический импорт мошеннических доменов и IP-адресов из базы данных ФинЦЕРТ Банка России. Эта база включает адреса скомпрометированных интернет-ресурсов (например, мошеннических сайтов-клонов онлайн-банкингов) и используется участниками финансового рынка для предотвращения инцидентов или их расследования.
Ранее собирать мошеннические ресурсы и добавлять их в списки исключений нужно было вручную, теперь новая функция позволяет автоматизировать работу ИБ-отдела. ИБ-специалисту достаточно указать путь в локальном хранилище, где находится полученный из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ csv-файл. Далее «СёрчИнформ SIEM» будет несколько раз в минуту сверять данные в системе и в папке, чтобы добавить или актуализировать списки исключений.
Эти списки можно использовать в правилах контроля веб-трафика (например, в UserGate, Fortigate): система обнаружит попытки взаимодействия с ресурсом из «черного списка», определит происходящее как инцидент и оповестит службу ИБ. В инцидентах будет указан конкретный сотрудник или скомпрометированный узел, который пытался обратиться к мошенническим сайтам из инфраструктуры компании. Таким образом финансовые организации смогут наладить автоматическое выявление и предотвращение инцидентов, связанных с опасными веб-ресурсами.