Коннектор к МСЭ от «Кода безопасности»для «СёрчИнформ SIEM»

--> Дата: Фев 14, 2025 23

Код Безопасности (компания)Коннекторы Межсетевые шлюзы следующего поколения (NGFW)СёрчИнформ Системы управления событиями безопасности (SIEM)

Компания «СёрчИнформ» сообщила, что в ее обновленной SIEM-системе реализован коннектор к отечественному межсетевому экрану «Континент 4» от компании «Код безопасности», что позволяет удобно получать данные из критически важной части ИТ-инфраструктуры. Готовые правила корреляции событий, специально разработанные для коннектора, помогут быстро настраивать их анализ для выявления инцидентов.

«Континент 4» – межсетевой экран нового поколения (NGFW), он активно используется для защиты государственных информационных систем и объектов КИИ.

«СёрчИнформ SIEM» получает от «Континент 4» syslog из разных журналов: сетевой безопасности, управления, а также системных событий. Также в SIEM «из коробки» доступны правила корреляции для «Континент 4». Система получает данные как о состоянии подключенного NGFW, так и о результатах его работы. Например, по правилу «Системные события» «СёрчИнформ SIEM» соберет информацию о работе компонентов межсетевого экрана (ОС, VPN и т.д.) или аутентификации пользователей, а правило Alert сработает, когда «Континент 4» зафиксирует попытки пользователей получить доступ к вредоносным ресурсам.

Для удобства работы NGFW в рамках SIEM, отмечают в «СёрчИнформ», добавлены правила, доступные «из коробки», причем они напрямую связаны с основной отличительной функциональностью «Континент 4»: пакетной фильтрацией, поведенческим и сигнатурным анализом. Правила также легко кастомизировать – создавать собственные на основе предустановленных, для этого не нужны навыки программирования, все настраивается через графический интерфейс.

Как комментируют в «Коде Безопасности», принято считать, что при интеграции с SIEM-системами достаточно наличие syslog для передачи журналов. Однако особого внимания здесь заслуживают правила корреляции, которые пишутся индивидуально под каждый продукт. NGFW «Континент 4» позволяет передавать журналы, связанные с защитой сети, поэтому крайне важно корректное понимание событий в этом сегменте безопасности на стороне SIEM «СёрчИнформ».

Система «СёрчИнформ SIEM» работает и с другими продуктами «Кода безопасности»: реализованы коннекторы и готовые правила для межсетевого экрана «Континент 3» и комплексного решения для защиты данных Secret Net Studio.