СёрчИнформ объявила о выходе собственной SIEM-системы

Александр Панасенко 22 Ноября 2016 - 11:52

Корпорации

SearchInform

СёрчИнформ SIEM

Системы мониторинга событий безопасности

SIEM-системы

...

22 ноября 2016 года компания «СёрчИнформ» объявила о выпуске «СёрчИнформ SIEM» –принципиально новой системы для выявления угроз и нарушений политик информационной безопасности с помощью анализа событий корпоративных систем.

Из-за огромного количества источников данных, «вручную» контролировать все события в IT-инфраструктуре компании практически невозможно. Это приводит к рискам пропустить инцидент (особенно, если он сформирован на основании цепочки событий из различных источников), не обнаружить или не установить причин инцидента. «СёрчИнформ SIEM» создана, чтобы решить эти проблемы.

«СёрчИнформ SIEM» – система для сбора, мониторинга и анализа событий безопасности из корпоративных систем в режиме реального времени. Программа аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них заинтересованных лиц.

«СёрчИнформ SIEM» сохраняет все инциденты в собственную базу данных, что позволяет строить отчеты и осуществлять поиск за все время функционирования системы. Связка «СёрчИнформ SIEM» – DLP-система «КИБ СёрчИнформ» позволяет детализировать нарушения и проводить анализ инцидентов в мельчайших подробностях.

Источники событий для системы – журналы Active Directory, Windows Event Log, антивирусы, почтовые серверы Exchange, СУБД, операции с файлами на файл-серверах и компьютерах пользователей. Список источников будет расширяться. Программа позволяет получить результат сразу же после установки, так как имеет широкий набор предустановленных правил и не требует базовой доработки. Однако, если заказчику необходимо создать свое правило в системе, специалисты СёрчИнформ помогут в решении данной задачи.

«Мы начали разработку «СёрчИнформ SIEM», так как появился запрос от наших клиентов. К концу 2016 года некоторые крупные заказчики планируют отказаться от подобных зарубежных решений и перейти на отечественные. Но хороших предложений от российских производителей на рынке не хватает, – прокомментировал новость председатель совета директоров «СёрчИнформ» Лев Матвеев. – Проблема большинства подобных систем – сложность в настройке и эксплуатации. Мы постарались сделать так, чтобы наш продукт был максимально преднастроен, понятен сотрудникам службы ИБ и работал фактически «из коробки». Кроме того, приемлемая стоимость системы делает ее доступной даже для среднего бизнеса. «СёрчИнформ SIEM» – это принципиально новая система, не копия и не аналог того, что уже представлено на рынке».

В планах компании расширять количество источников и набор предустановленных правил для «СёрчИнформ SIEM». Система сможет не только анализировать массивы информации, но и отслеживать изменения в поведении пользователей на основе корреляционного анализа. К концу 2016 года появятся трафик сетевого оборудования, среды виртуализации и терминальные сервера, агенты контроля рабочих станций. Также расширится количество поддерживаемых антивирусов, добавится NetFlow, Windows connector.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 23 Мая 2025 - 14:14

Ботнет Трояны Домашние пользователи

Операторы трояна DanaBot иногда по ошибке заражали собственные компьютеры

В Лос-Анджелесе оглашены обвинения, выдвинутые по делу о создании и распространении Windows-трояна DanaBot. Среди 16 ответчиков числятся Александр Степанов (JimmBee) и Артем Калинкин (Onix) из Новосибирска.

Обоим россиянам, которые пока не пойманы, инкриминируются преступный сговор, а также получение несанкционированного доступа к компьютерам с целью кражи информации и совершения мошеннических действий.

Всех фигурантов удалось выявить благодаря конфискации C2-серверов и хранилищ данных, украденных DanaBot. Их изучение показало, что многофункциональный зловред воровал также учетки своих разработчиков и операторов: первые заражали собственные машины с целю тестирования, вторые — по ошибке.

Троян DanaBot известен ИБ-сообществу с 2018 года. Созданный на его основе ботнет предоставлялся в пользование по модели MaaS (Malware-as-a-Service, вредонос как услуга); ФБР удалось выявить не менее 40 аффилиатов криминального сервиса.

Согласно материалам дела, клиенты MaaS суммарно заразили свыше 300 тыс. компьютеров, совокупный ущерб жертв превысил $50 миллионов. В ESET за шесть лет наблюдений обнаружили более C2-серверов DanaBot; наибольшее количество заражений зафиксировано в Польше.

Агенты ФБР также раздобыли свидетельства использования трояна для шпионажа. Вторая версия зловреда регистрировала все действия жертв на компьютерах и применялась в атаках на дипломатов, силовиков и военных США, Великобритании, Германии, Белоруссии и России.

Центры управления DanaBot v2 были нейтрализованы в ходе очередного этапа операции Endgame. Службе криминальных расследований Минобороны США (Defense Criminal Investigative Service, DCIS) удалось установить контроль над десятками виртуальных серверов; в настоящее время проводятся работы по оповещению жертв заражения и оказанию помощи в дезинфекции.

Кроме ФБР и DCIS, в расследовании криминальной деятельности, связанной с DanaBot, принимали участие спецподразделения полиции Германии, Нидерландов и Австралии. Экспертную поддержку силовикам оказали ESET, Crowdstrike, Intel 471, Proofpoint, ZScaler и Team CYMRU.

Новые карательные меры в рамках Operation Endgame были приняты в период с 19 по 22 мая. По данным Европола, правоохране удалось обезвредить около 300 вредоносных серверов и 650 доменов, а также получить 20 ордеров на арест подозреваемых.

Трансграничная операция имела целью разгром инфраструктуры следующих зловредов: