RuSEIM

ВЫПУЩЕН НОВЫЙ МОДУЛЬ SIEM-СИСТЕМЫ – RUSIEM IOC

Новости
Новый модуль SIEM-системы RuSIEM позволяет выявить угрозы для корпоративных устройств с помощью индикаторов компрометации.

Москва, 28 ноября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый модуль RuSIEM IoC (Indicators of Compromise), который позволяет выявить угрозу для корпоративных устройств в виде попыток связаться с вредоносной инфраструктурой злоумышленника. Модуль подгружает в систему информацию об IP-адресах, доменах, url, хэшах вредоносного ПО (ВПО). Это и есть индикаторы компрометации – признаки, позволяющие выявлять вредоносные коммуникации и зараженные устройства.

Индикатор компрометации срабатывает, когда злоумышленники используют устройство ИТ-инфраструктуры (рабочую станцию, оргтехнику или иное оборудование, имеющее выход в Интернет) в качестве элементов botnet-сетей, а также когда устройство устанавливает связь с сайтами или командными серверами преступников.

Новый модуль позволяет заказчикам компании RuSIEM выявлять следующие угрозы:

  • загрузка вредоносных файлов с зараженных ресурсов сети Интернет;
  • автоматические запросы с компьютеров к инфраструктуре злоумышленников;
  • обращение компонентов клиентской инфраструктуры на вредоносные узлы;
  • запросы и обращения с инфраструктуры злоумышленников либо зараженных узлов;
  • идентификация конкретного ВПО либо хакерской группировки.

Модуль RuSIEM IoC настраивается автоматически. Когда Firewall или иное СЗИ фиксирует факт взаимодействия устройства с внешним узлом, оно передает данные в SIEM-систему RuSIEM. Система, в свою очередь, анализирует их с помощью правил корреляции и устанавливает, является ли IP или домен, с которым взаимодействовало устройство, вредоносным. После того, как установлена угроза, в системе создается инцидент.

«На текущий момент RuSIEM IoC анализирует данные из более чем 260 открытых источников, сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github, а также данных публичных TI-отчетов, а сама система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности», - отметил Максим Степченков, совладелец компании RuSIEM.

Подробнее о модуле

Подробности можно запросить у менеджеров технической поддержки компании RuSIEM, направив запрос на support@rusiem.com.