«СёрчИнформ SIEM» с поддержкой шлюза VipNet

--> Дата: Дек 23, 2022 131

Компания «СёрчИнформ» представила обновление своей SIEM-системы, в котором расширены возможности контроля сетевого оборудования. Теперь «СёрчИнформ SIEM» может собирать события из VipNet, сетевого шлюза безопасности от «ИнфоТекс». VipNetConnector – это криптошлюз (Site-to-site, RA VPN) и сервер-маршрутизатор конвертов, содержащих зашифрованные служебные данные и данные клиентский приложений.

Для VipNetConnector в «СёрчИнформ SIEM» доступны пять предустановленных правил:

ошибки входа под учетными данными администратора;
ошибки входа под учетными данными пользователя;
операции с правилами фильтрации трафика;
перезагрузка узла кластера;
экспорт справочников, ключей и настроек.

Два первых правила срабатывают, когда администратор или пользователь ошибается при попытке входа в учетную запись, а также при реализации атаки извне методом полного перебора пароля (brute-force attack). События из разряда «Операции с правилами фильтрации трафика» не несут в себе информации об угрозах, но полезны при проведении расследований или настройке правил кросс-корреляции. «Перезагрузка узла кластера» указывает на нарушение отказоустойчивости кластера, а «Экспорт справочников, ключей и настроек» может говорить о несанкционированных действиях со стороны пользователей.

Кроме того, планируется, что в I квартале 2023 г. в «СёрчИнформ SIEM» появятся коннекторы для российских СЗИ SecretNet Studio (обеспечивает безопасность рабочих станций и серверов), АПШК «Континент» (служит для контроля событий криптошлюза) и UserGate (межсетевой экран).

Инфотекс СерчИнформ Системы управления событиями безопасности (SIEM)Шлюз безопасности