RuSIEM agent

Важное обновление для агентов х86

Доступно важное обновление для агентов х86 - rusiem-web-5.6.3-4. Ранее было обновление только х64 агентов с управляющего сервера. 32 битные агенты используются редко, но важны, к примеру, для сбора событий с Checkpoint LUA, для которого существует только 32битная библиотека.

Отслеживание запущенных процессов

В RuSIEM агент есть возможность отслеживания запущенных процессов в операционной системе где установлен агент. Пока только локально. В будущем - без установки агента удаленно одним агентом с множества систем.

Возможности сбора событий агентом

RuSIEM Agent устанавливается на Windows начиная с версии XP SP2 с установленным .Net версии 4.0 и выше.

Агент устанавливается в систему в виде службы MS Windows. Управляется и настраивается через веб-консоль управляющего сервера.

Методы сбора событий с удаленных систем

С удаленных систем возможен несколькими способами:
1) пассивный прием, с установкой соединения или без нее. Например, через протокол syslog. Или snmp (trap/informs).
2) прослушивание траффика. К примеру, promiscuous mode/span/tap.