SearchInform Event Manager:

Bedreigingsdetectie in real-time

Werkalgoritme van SearchInform SIEM

Wat wordt in de gaten gehouden?

SIEM leest data uit de volgende bronnen:

  • Active Directory domain controllers (domain controllers gebaseerd op Windows Server 2008 R2 of hoger zijn ondersteund);
  • Toegang tot fileserver resources;
  • Gebruikersactiviteiten;
  • Exchange email servers;
  • Kaspersky antivirus;
  • Databases (MS SQL);
  • Syslog van hardware en applicaties;
  • SearchInform DLP.

Wordt ontwikkeld en getest:

  • Onderschepte traffic van netwerkapparatuur en Proxy-servers;
  • Virtuele omgevingen en Terminal Services;
  • Email, via integratie met mail servers;
  • NetFlow (ontdekking van verdachte netwerkactiviteiten, DDoS-aanvallen enz.);
  • Dynamische dashboards;
  • Ondersteuning van andere antivirussen, database engines en mail servers.

Werklogica: incidenten

SIEM verwerkt enorme hoeveelheid van events en voegt incidenten samen in ketens, dit helpt om bedreigingen te herkennen met behulp van complexe analyse van alle data.

Het systeem krijgt meest diverse informatie en produceert complexe goed onderbouwde conclusies: statistieken, notificaties over anomalieën, storingen, pogingen om ongeoorloofde toegang te krijgen, uitschakeling van veiligheidssystemen, virussen, verdachte transacties, datalekken enz. Het doel van SIEM is om reactietijd bij incidenten te verminderen.

Zoekalgoritmen van SIEM maken gebruik van diverse methoden, van het checken van compliance met de huidige informatieveiligheidsstandaarden tot het slimme algoritme om statistische anomalieën te vinden. SearchInform SIEM houdt de hele bedrijfsinfrastructuur voortdurend in de gaten.

Voorbeelden van vooraf geconfigureerde veiligheidsbeleid*

  • VOOR ACTIVE DIRECTORY DOMEIN CONTROLLERS

    Tijdelijke naamwijziging van een gebruikersaccount.
    Pogingen om een wachtwoord te gokken.
    Meerdere gebruikersaccounts op een PC.
    Wachtwoord reset door een systeembeheerder.
    Verlopene wachtwoorden.
    • Statistiek van inloggen.
    Eén account op meerdere PC’s.
    Wachtwoord instellen door een gebruiker.
    Tijdelijke activering van een account.
    Tijdelijke toevoeging van een account in een groep.
    Verlopene accounts in AD.
    Tijdelijke toekenning van rechten in AD.
    Aanmaken van een account.
    Aanpassingen van een account.
    Wijziging van lidmaatschap in kritische gebruikersgroepen in AD.
    Gebruik van speciale accounts.
    Leegmaking van logboeken door een gebruiker.
    Wijziging van auditbeleid.

  • VOOR MS SQL

    Tijdelijke aanmaken van logins in MS SQL.
    Tijdelijke aanzetting van logins in MS SQL.
    Statistiek van wijziging van toegangsrechten in MS SQL.
    Tijdelijke toekenning van sysadmin role van een database.
    Wijziging van een wachtwoord door de DBA.
    Tijdelijke naamwijziging van logins in MS SQL.

  • VOOR KASPERSKY ANTIVIRUS

    Tamper protection heeft uitvoering van een programma geblokkeerd.
    Tamper protection is uitgeschakeld.
    Antivirus componenten zijn uitgeschakeld.
    Kritische toestand van een PC.
    Potentieel gevaarlijk programma is gevonden.
    Beheerstaak kon niet uitgevoerd worden.
    Geen antivirus licentie.
    Veranderingen in lidmaatschap van een beheerder groep.
    Geblokkeerde en geïnfecteerde programma’s.
    Virus uitbraak gedetecteerd.

  • VOOR MICROSOFT EXCHANGE

    Wijzigingen van audit parameters.
    Wijzigingen in groepen van beheersroles.
    Het geven van toegang tot een mailbox.
    Wijziging van mailbox status.
    Wijziging van lidmaatschap in beheersroles.
    Toegang tot een mailbox niet door de eigenaar.

  • VOOR GEBRUIKERSACTIVITEITEN

    Activiteiten buiten werkuren.
    Activiteiten van een lang afwezige gebruiker.

  • VOOR SYSLOG

    Eigen regels van Syslog.
    OS kernel events.
    User-level events.
    Events van email systemen.
    Events van system daemons.
    Veiligheid en autorisatie events.
    Interne events van Syslog.
    LPD protocol events.
    NTP events.
    Events van UUCP subsystemen.
    Time services events.
    Events van FTP daemons.
    Events van NTP subsystemen.
    Journaling events.
    Journaling waarschuwingen.
    Scheduling services events.
    Andere events.
    SearchInform DLP events.

SearchInform SIEM omzeild problemen van de meeste moderne SIEM-systemen: hij werkt bijna ‘out of the box’, er is geen noodzaak om dure specialisten in te huren om reactieregels op te stellen en correlatieregels te corrigeren, de integratie met bestaande IT-infrastructuur wordt ook snel en moeiteloos geregeld.

Gratis uitproberen Prijs aanvragen