Поделиться
«СерчИнформ SIEM» поддержала детальную вычитку событий из NGFW «Континент 4» от «Кода Безопасности»
В обновленной «СерчИнформ SIEM» реализован коннектор к отечественному межсетевому экрану «Континент 4», что позволяет получать данные из критически важной части ИТ-инфраструктуры. Готовые правила корреляции событий, специально разработанные для коннектора, помогут настраивать их анализ для выявления инцидентов. Об этом CNews сообщили представители «СерчИнформ».
«Континент 4» – межсетевой экран нового поколения (Next Generation Firewall – NGFW), разработанный компанией «Код Безопасности». Решение используется для защиты государственных информационных систем и объектов критической информационной инфраструктуры.
«СерчИнформ SIEM» получает от «Континент 4» syslog из разных журналов: сетевой безопасности, управления, а также системных событий. Также в SIEM «из коробки» доступны правила корреляции для «Континент 4». Система получает данные как о состоянии подключенного NGFW, так и о результатах его работы. Например, по правилу «Системные события» «СерчИнформ SIEM» соберет информацию о работе компонентов межсетевого экрана (ОС, VPN и т.д.) или аутентификации пользователей, а правило Alert сработает, когда «Континент 4» зафиксирует попытки пользователей получить доступ к вредоносным ресурсам.
«Мы видим большой спрос на NGFW среди заказчиков, поэтому нам важно поддерживать совместимость «СерчИнформ SIEM» с решениями-лидерами в этом сегменте, такими, как «Континент 4» от «Кода Безопасности». Мы сделали работу данного NGFW в рамках SIEM как можно удобнее: разработали надежный коннектор и добавили правила, доступные «из коробки». Причем правила напрямую связаны с основной отличительной функциональностью «Континент 4», которую ценят заказчики: пакетной фильтрацией, поведенческим и сигнатурным анализом и многим другим, – отметил системный аналитик компании «СерчИнформ» Павел Пугач. – Также правила можно легко кастомизировать – создавать собственные на основе предустановленных. Для этого не нужны навыки программирования, все настраивается через удобный графический интерфейс».
«Принято считать, что при интеграции с SIEM-системами достаточно наличие syslog для передачи журналов. Однако особого внимания здесь заслуживают правила корреляции, которые пишутся индивидуально под каждый продукт, – сказал ведущий эксперт «Кода Безопасности» Дмитрий Лебедев. – NGFW «Континент 4» позволяет передавать журналы, связанные с защитой сети, поэтому корректное понимание событий в этом сегменте безопасности на стороне SIEM «СерчИнформ» крайне важно».
«СерчИнформ SIEM» работает и с другими продуктами «Кода Безопасности»: реализованы коннекторы и готовые правила для межсетевого экрана «Континент 3» и комплексного решения для защиты данных Secret Net Studio.
Короткая ссылка
