Компания «Газинформсервис» представила обновлённую версию программного комплекса Ankey SIEM Next Generation (далее — ПК Ankey SIEM NG) 5.2.7, содержащую следующие улучшения:
В данном релизе расширены возможности сбора событий средствами коннекторов ПК Ankey SIEM NG. Возможности нового релиза позволяют обрабатывать события более 200 различных типов источников событий. Были улучшены возможности сбора и обработки событий для источников событий. Также в ПК Ankey SIEM NG v.5.2.7 были реализованы изменения в коннекторах, связанные с поступающими обращениями от внешних пользователей.
В платформе ПК Ankey SIEM NG сформированы следующие пакеты для библиотеки системных ресурсов, которые входят в базу данных GIS_DB4:
− пакет коннекторов для стандартных источников — GIS_KB_Connectors_Std_R_5.1.13;
− пакет общих ресурсов контента — GIS_KB_Content_Std_5.2.1;
− пакет мониторинга SIEM — GIS_KB_Content_SIEM_Monitoring_5.1.4.
Этот набор ресурсов является «коробочным» решением и поставляется совместно с ПК Ankey SIEM NG v.5.2.7.
Контент:
Для всех пакетов контента реализованы следующие общие изменения:
1.1 Добавлены списки для ручного заполнения информацией об индикаторах компрометации с типами IP и Mask: repListIPManual, repListMasksManual соответственно.
1.2 Реализована возможность настройки пограничных значений срабатывания по времени и количеству событий для правил на сканирование портов и сети: правила GL_FW_S04_Host_Port_Scan, GL_FW_S05_Network_Scan.
2. Для пакета инфраструктурного контента реализованы следующие ключевые изменения:
Реализованы правила корреляции для детектирования следующих кейсов:
− попытка доступа к сетевому оборудованию вопреки запрету списка контроля доступа (ACL) (правило GL_NE_S13_Several_Access_Control_List_Violation_Per_Day);
− обнаружение средством защиты информации уязвимости и ее неустранение в течение дня (правило GL_VS_S01_Vulnerability_Detected_And_Not_Remediated).
3. Для пакета мониторинга ППО реализованы следующие ключевые изменения:
Реализованы правила корреляции для детектирования неправомерного воздействия на транзакции правилами GL_AS_TRN_S01_Started_Critical_Transaction, GL_AS_TRN_S02_Administrator_Started_Critical_Transaction.
Источник: gaz-is.ru