Компания RuSIEM выпустила новый релиз SIEM-системы – 3.5.0
21.04.2022

Компания RuSIEM выпустила новый релиз SIEM-системы – 3.5.0

Новая версия системы позволяет более качественно выявлять угрозы и реагировать на них, благодаря возможности обогащать событиями инциденты, созданные вручную.

Москва, 21 апреля 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области информационной безопасности, выпустила новый технологический релиз системы мониторинга, сбора и анализа событий.

В обновленной версии SIEM-системы RuSIEM реализована возможность привязки событий к созданным вручную инцидентам. Иными словами, пользователь может вручную создавать инциденты и в процессе получения информации от источников «привязывать» к ним события, которые он считает с ними связанными.

Также реализована возможность создавать динамические таблицы и сохранять в них информацию при обработке событий для дальнейшего использования при поиске и выявлении новых угроз. В отличие от списков, пользователь может хранить в таблицах не одноуровневые, а связанные данные (например IP – порт – login), что в итоге позволяет выявлять более серьезные угрозы без риска получить большое количество ложных срабатываний.

Пример 1. После подключения по VPN username и IP-адрес пользователя в локальной сети заносятся в динамическую таблицу, и ведется мониторинг подключений этого пользователя к ресурсам предприятия (например, к RDP, SSH и другим серверам). Если IP-адрес при подключении к ним отличается от того, который был занесен в динамическую таблицу в момент подключения по VPN, это может говорить о компрометации верительных данных пользователя (логин и пароль). В системе создается инцидент, который отрабатывает офицер ИБ.

Пример 2. В динамические таблицы записываются данные по запущенным процессам, которые сопоставляются с уникальными пользователями или рабочими станциями (записываться может имя процесса и или его hash). После заполнения таблицы в течение определенного промежутка времени создается корреляция на отслеживание появления нового процесса. Его появление может являться индикатором компрометации, который поможет службе SOC или офицерам ИБ выявить заражение или нелегитимную активность на серверах и рабочих станциях предприятия.

Помимо этого, в SIEM-системе RuSIEM версии 3.5.0 доработаны:

  • дашборды;
  • настройки микросервисов;
  • функционал multitenancy;
  • ряд существующих парсеров.

ПРИВЯЗКА СОБЫТИЙ К ИНЦИДЕНТАМ | ЗВУКОВОЕ ОПОВЕЩЕНИЕ | АВТООБНОВЛЕНИЕ ТАБЛИЦЫ | ДИНАМИЧЕСКИЕ ТАБЛИЦЫ

Другие новости

Подпишись на новости компании RuSIEM и будь в курсе последних обновлений продукта

Подписаться