Поддержка протокола SSH в SIEM-системе «СёрчИнформ»

Компания «СёрчИнформ» анонсировала в новой версии своей SIEM-системы коннектор, который позволяет собирать данные по протоколу SSH (Secure Shell). Благодаря доработке в «СёрчИнформ SIEM» улучшены возможности контроля ИТ-инфраструктуры заказчиков: к ней можно подключить любое оборудование и ПО с unix-оболочкой, а также устройства и процессы на Windows. По охвату новый коннектор сопоставим с коннектором для syslog – самого универсального формата обмена данными.

В отличие от стандартных коннекторов, которые собирают из источников события безопасности, SSH-коннектор опрашивает устройства и ПО об их текущем статусе. Таким образом протокол SSH помогает получать сведения о состоянии ИТ-инфраструктуры: например, о загрузке процессора, оперативной памяти и пр. Это помогает отслеживать аномалии в штатной работе устройств и программ, которые могут выступать клиентом и сервером для SSH-подключений. Аномалии, в свою очередь, могут говорить об атаках – протокол SSH ввиду его широких возможностей нередко используют хакеры.

В решении «СёрчИнформ» из «коробки» сразу доступны правила корреляции, которые среди полученных SSH-коннектором данных способны вычислить потенциальные проблемы. События с коннектора можно объединить с событиями из других источников с помощью сервиса кросс-корреляции. Наконец, «СёрчИнформ SIEM» позволяет запускать заданную пользователем автоматическую реакцию на выявленные инциденты, в том числе обнаруженные по событиям SSH. Как подчеркивают в «СёрчИнформ», поддержка запросов по SSH выходит за рамки стандартного функционала SIEM-систем и позволяет заказчикам получить нужные инструменты без покупки дополнительного ПО.