Приклад інтеграції корпоративного антивіруса з SIEM-платформою



З-за величезного обсягу оброблюваних даних IT-відділу часто складно адекватно сфокусуватися на важливих аспектах інформаційної безпеки підприємства. Інтеграція корпоративного антивіруса в SIEM-систему дозволяє перейти від простого отримання оперативних даних до повного розуміння ситуації.

Коротко про SIEM

Що таке SIEM-система

SIEM (Security information and event management), як випливає з назви, — це управління інформаційною безпекою та подіями безпеки. SIEM-системи забезпечують в реальному часі аналіз подій (тривог) безпеки, що виходять від мережевих пристроїв і додатків. Іншими словами, SIEM-система дозволяє збирати величезний обсяг первинної інформації від інших додатків і систем безпеки (наприклад, брандмауер, антивірус, IDS/IPS тощо), систем ідентифікації і управління доступом, операційної системи, бази даних та ін., щоб обробляти ці дані на предмет взаємозв'язку між собою (кореляція) та надавати їх в зручному для перегляду та аналізу вигляді.

Таким чином, можливості SIEM-систем збирати і обліковувати статус ІТ-систем дозволяють підприємствам перетворити величезні обсяги первинних даних у корисну і важливу експертну інформацію для подальшого прийняття відповідних рішень. Наприклад, вона може використовуватися для виявлення проблем і дірок безпеки, викликаних зовнішніми факторами і/або інсайдерами всередині компанії, несанкціонованого доступу до конфіденційної корпоративної інформації і т. д.

На жаль, на багатьох середніх і великих підприємствах ІТ-відділи і служби інформаційної безпеки не завжди справляються з лавиною даних: великі обсяги оброблюваної інформації і поява шкідливих програм нового покоління призводить до того, що багато важливих аспекти безпеки упускаються з виду або взагалі не фіксуються, а це знижує загальний рівень безпеки підприємства.

Тому не дивно, що SIEM-системи стали активніше використовуватися при управлінні ІТ-інфраструктурами на середніх і великих підприємствах.

Нові можливості контролю статусу безпеки

В сучасних умовах ІТ-відділи вимагають високого рівня видимості і контролю, щоб мати можливість передбачати проблеми безпеки з боку шкідливих програм нового покоління.

В цілому, SIEM-системи можуть допомогти ІТ-відділу сфокусувати свою увагу на тому, що реально турбує:

• Які нові програми запущені і ще не класифіковані як шкідливі або невредоносные?
• Як ці програми потрапили в корпоративну мережу?
• Які підозрілі дії вони виконали на пристрої користувача (редагування реєстру, установка драйверів і т. д.)?
• Яке встановлене на підприємстві має уразливості і як вони використовуються?
• Які процеси звертаються до документів користувачів і відправляють інформацію поза?
• Як використовується корпоративна мережа кожним запущеним в ній процесом?

Крім того, можливості SIEM-систем з реєстрації і зберігання даних дозволяють здійснити ретроспективний аналіз і при розслідуванні події минулого інциденту спробувати знайти необхідні відповіді (коли, як і де стався інцидент, які наслідки і хто винен).

Практичний ефект від використання SIEM-системи

Експертні дані, одержувані від SIEM-системи, можуть і повинні використовуватися для оптимізації роботи систем безпеки з метою підвищення рівня інформаційної безпеки корпоративної мережі і всього підприємства в цілому. Ось лише деякі питання, які можна більш ефективно вирішувати з допомогою SIEM:

Виявлення джерел загроз безпеки і застосування відповідних заходів для запобігання майбутніх атак
• Впровадження і модифікація відповідних політик доступу до конфіденційної корпоративної інформації
Моніторинг і контроль зловживань корпоративними ресурсами, які можуть негативно позначитися на роботі підприємства і продуктивності співробітників
• Коригування моделей поведінки співробітників підприємства, які не дотримуються встановлених політики безпеки

Чим більше джерел первинної інформації інтегровано з SIEM-системою, тим більш повні та якісні експертні дані можна отримати від неї. Сьогодні ми розглянемо приклад інтеграції системи інформаційної безпеки кінцевих точок з SIEM-системою.

Потужна парочка: антивірус і SIEM


Інтеграцію системи безпеки кінцевих точок з SIEM-системою розглянемо на прикладі таких рішень:

• Захист кінцевих точок: Panda Adaptive Defense 360
• SIEM-система: Advanced Reporting Tool

Panda Adaptive Defense 360 надає собою повноцінну централізовану захист кінцевих точок (антивірус, фаєрвол, контроль пристроїв, захист Exchange, URL-фільтрація, функції протикрадій тощо) під управлінням Windows, Linux, Android і Mac через єдину хмарну консоль управління. Крім цього, рішення надає розширену захист машин з Windows від невідомих погроз, спрямованих атак, шифрувальників та інших шкідливих програм нового покоління в рамках модуля Adaptive Defense (він доступний у вигляді окремого продукту, якщо на підприємстві вже є корпоративний антивірус іншого виробника). Продукт являє собою SaaS-рішення, у якого вся інфраструктура знаходиться в хмарі, а тому не вимагає локальної інфраструктури. На додаток до цього, рішення має деякі вбудовані функції SIEM-системи, які дозволяють аналізувати контекстний характер кожного процесу і весь його життєвий цикл. Локальні агенти здійснюють ретельний моніторинг кожного процесу і передають у хмару близько 2000 різних параметрів (виключаючи персональні дані) у зашифрованому і знеособленому вигляді.

Далі вся первинна інформація може автоматично передаватися в SIEM-систему для розширеного та експертного аналізу. І тут є два варіанти:

• Якщо на підприємстві вже є SIEM-система, первинні дані автоматично і безпечно можуть бути відправлені з використанням форматів LEEF/CEF, сумісних з більшістю представлених на ринку SIEM-систем (безпосередньо або через плагін), наприклад, Alien Vault, ArcSight, QRadar, Bitacora, Lookwise та інші.
• Якщо на підприємстві не використовується SIEM-система, то Panda Adaptive Defense 360 за замовчуванням інтегрований з SIEM-системою Advanced Reporting Tool і в цьому випадку Вам взагалі нічого не потрібно робити для їх інтеграції (достатньо лише мати відповідну ліцензію).

Можливості Advanced Reporting Tool (ART)

Коротко про ART

Advanced Reporting Tool – це хмарний сервіс, що працює в реальному часі. Вся його інфраструктура розташована в хмарі, а тому для його впровадження не вимагає будь-якої інфраструктура в мережі підприємства.

Платформа Advanced Reporting автоматизує зберігання і кореляцію інформації, пов'язаної з виконанням процесів і їх вмістом, яка збирається з комп'ютерів рішенням Panda Adaptive Defense 360 (або окремим продуктом Panda Adaptive Defense).

Ця інформація дозволяє Advanced Reporting Tool в режимі реального часу автоматично здійснювати глибокий аналіз даних з безпеки та надавати підприємствам інструменти, що дозволяють виявляти атаки і підозрілу поведінку процесів незалежно від їх походження, а також виявляти внутрішні зловживання корпоративними системами і мережею.



ART показує всю активність усіх процесів в мережі:

• Відображає хід виконання усіх типів шкідливих програм, виявлених в мережі підприємства, з інформацією про те, які з підпроцесів були заблоковані чи ні, що дозволяє вжити відповідні заходи
• Перераховує всі дії, виконувані кожним процесом (шкідливим, невредоносным або невідомих), що дозволяє оцінити ступінь ризику з боку кожного процесу
• Дозволяє візуалізувати спроби доступу до конфіденційної інформації, щоб запобігти витоку або крадіжку даних
• Відображає всі виконувані програми, особливо з відомими уразливими місцями, щоб допомогти в управлінні оновленнями і виправленнями
• Допомагає правильно оцінювати доступні мережеві ресурси, відображаючи ті програми і тих користувачів, яким потрібна більша пропускна здатність



Вся інформація зберігається в хмарі і надається у вигляді широкого набору настроюваних графічних гаджетів, таблиць, інформаційних панелей і систем оповіщення в реальному часі. Наприклад, відстежуються такі події:

• Установка і видалення драйверів в операційній системі
• Установка та модифікація клавіатури, мишки та інших пристроїв
• Зміни в системному файлі (HOSTS)
• Обсяг даних, отриманих і відправлених кожним процесом всередині мережі
• Запис сполук, встановлених з віддаленими системами
• З відомими уразливими місцями, встановлене на комп'ютерах в мережі
• Виконання та припинення процесів
• Завантаження бібліотек
• Маніпуляції з файловою системою
• Запуск командного рядка

Відслідковують події можуть бути пов'язані з невідомим шкідливим кодом, а тому Advanced Reporting Tool (як і інша SIEM-система) є фундаментальним інструментом для моніторингу процесів з метою виявлення підозрілої поведінки і аномалій.

Веб-консоль управління ART

Для управління SIEM-системою Advanced Reporting Tool використовується хмарна веб-консоль, яка оптимізована для роботи з Mozilla Firefox і Google Chrome (хоча може працювати і з іншими браузерами). Для доступу до консолі, природно, потрібно Інтернет-з'єднання і відкритий порт 443. Мінімальна роздільна здатність екрану – 1280*1024 (рекомендується 1920*1080).

Доступ до консолі керування ART здійснюється безпосередньо з хмарної веб-консолі рішення Panda Adaptive Defense 360, призначеного для захисту кінцевих точок.



На головній сторінці веб-консолі ART представлена основна настроюється зведення з полів» у режимі реального часу:



У лівій частині веб-консолі ART представлено меню:


Account: опції керування обліковим записом користувача, який має доступ до веб-консолі управління ART.
Home: кнопка переходу на головну сторінку.
Search: доступ до таблиць з акумульованими знаннями. Тут можна подивитися первинні дані, що надсилаються з комп'ютерів, захищених Adaptive Defense.
Administration: дозволяє налаштовувати нові оповіщення.
Applications: у цьому розділі пропонується випадаюче меню з доступними додатками – інтерактивними і попередньо налаштованими панелями, які надають оброблену інформацію у простому і зрозумілому форматі:

  • Security Incidents: показує статус безпеки та інциденти, виявлені в мережі, разом з інформацією, яка дозволяє встановлювати джерело загроз та їх ступінь впливу на підприємство
  • Application Control: показує дані, пов'язані з використанням додатків, встановлених на мережі
  • Data Access Control: показує інформацію про використання смуги пропускання каналу зв'язку та доступ до документів з додатками, встановленими в мережі
Alerts: показує вікно з інформацією про отримані спільноти.
Preferences: даний розділ пропонує набір опцій, які можуть бути налаштовані для користувачів консолі.
Програми та оповіщення представлені у вигляді карт, таблиць та діаграм Вороного, лінійні, стовпчасті, кругові тощо), а для управління ними використовуються різні елементи відображення, фільтрації тощо

Програми ART

Програми – це інтерактивні і попередньо налаштовані інформаційні панелі, які надають оброблену інформацію у простому і зрозумілому форматі. Як вже згадувалося, є три види програм:

• Інциденти безпеки
• Контроль додатків
• Контроль доступу до даних

Доступ до всіх цих програм здійснюється через меню Applications. Для фільтрації інформації можна вибирати необхідні дати, а також відповідний тип звіту.

Інциденти безпеки

Додаток Security Incidents дозволяє побачити активність шкідливих програм в корпоративній мережі, щоб адаптувати політику безпеки підприємства. Ця програма також допомагає сформувати вихідну інформацію для експертного аналізу.

Інформаційна панель показує виявлення в мережі і відповідну інформацію:

  • Інформація про постраждалих комп'ютерах: кількість виявлень, динаміка виявлень у часі і ін
  • Інформація про виявлені загрози: напрямки зараження, постраждалі комп'ютери, статус виконання шкідливих програм, їх тип та ін



Панель містить дві закладки: ключові індикатори безпеки (Key Security Indications) і детальна інформація (Detailed Information).

Серед ключових індикаторів безпеки можна подивитися інформацію по шкідливим програмам і ПНП (динаміка і кількість виявлень), а також і по інцидентів (типи інцидентів та статус їх виконання). Причому в діаграмі статусу виконання інцидентів можна побачити як успішні спроби зараження (виконані або дозволені користувачем), так і провалилися (заблоковані або невиконані).

При цьому при перегляді кожної діаграми можна одним кліком зробити скріншот, скачати представлені дані у вигляді файлу csv або перейти на перегляд первинної інформації, на основі якої була надана необхідна інформація:



На закладці з детальною інформацією представлено декілька таблиць, що показують інциденти, викликані шкідливими програмами. Зокрема, доступні таблиці з інформацією за типом інцидентів, зі списком кінцевих точок, де були виявлені інциденти, а також зі списком інцидентів на всіх кінцевих точках.



До речі, з додатком Інциденти безпеки пов'язане три попередньо налаштованих оповіщення, які відправляються щогодини: кількість виявлень шкідливого ПЗ на кожній кінцевій точці, кількість виявлень шкідливого ПО у всій мережі і кількість комп'ютерів, на яких виконувався певний тип шкідливого ПЗ.

Таким чином, додаток Інциденти безпеки дозволяє отримати повну картину всіх інцидентів і виявлених шкідливих програм з повною інформацією про їх місцезнаходження, охопленні, динаміку в часі і ін

Контроль додатків

Додаток Application Control пропонує докладну інформацію про всіх додатках, встановлених і запущених на комп'ютерах користувачів. Вся інформація представлена на чотирьох закладках:

• IT Applications – показує, які програми запущені на комп'ютерах в мережі, а також встановлює базовий контроль над використанням ліцензій Microsoft Office



• Vulnerable Applications – дозволяє визначити вразливі додатки, встановлені та/або запущені на комп'ютерах в мережі. Ця інформація призначена для того, щоб ІТ-відділ міг встановити пріоритети при оновленні з відомими уразливими місцями



• Bandwidth-consuming Applications – показує обсяг і відсоток використання каналу зв'язку додатками, запущеними в мережі. Ця інформація дозволяє отримати огляд даних споживаного трафіку тими додатками, які використовуються користувачами для того, щоб: 1) виявити програми з споживанням трафіку вище середнього; 2) допомогти у забезпеченні оптимальних параметрів резервування пропускної здатності межах всього підприємства.



• Detailed Information – показує найбільш часто запускаються, і найбільш вразливі додатки, встановлені на комп'ютерах користувачів



На перших трьох закладках інформація представлена у вигляді стандартної діаграми Вороного, що одночасно дозволяє одним поглядом прояснити загальну картину розглянутого питання і перейти на необхідний рівень деталізації інформації аж до перегляду таблиць з первинною інформацією поряд з опціями створення скріншотів і експорту даних в CSV.

З додатком «Контроль програм» також пов'язані чотири попередньо налаштованих оповіщення, які дозволяють оперативно інформувати адміністраторів про запуск вразливих додатків і рівні споживання смуги пропускання каналу зв'язку при забезпеченні проактивного підходу в роботі ІТ-відділу, що дозволяє підтримувати корпоративну мережу в належному справному стані:

• Кількість вразливих додатків, запущених на кожному комп'ютері в мережі за останні 24 години
• Обсяг вхідного трафіку у кожного комп'ютера в мережі за останню годину
• Обсяг вихідного трафіка у кожного комп'ютера в мережі за останню годину
• Об'єм вхідного та вихідного трафіку у кожного додатка за останню годину

Таким чином, додаток Контроль програм дозволяє отримати повну картину по всім встановленим і запущеним додатками, особливості їх роботи, споживаному трафік, наявності вразливостей і тощо

Контроль доступу до даних

Додаток Data Access Control показує інформацію, яка залишає мережу підприємства, що допомагає адміністратору витоку даних і крадіжку конфіденційної інформації. Всі дані представлені в вигляді трьох закладок:

• Outbound network traffic – показує інформацію про обсяг даних, надісланих з мережі підприємства. Причому інформація представлена у вигляді абсолютних значень, переданих даних, так і у вигляді карти з можливістю керування ступенем деталізації, на якій показані основні географічні напрямки передачі даних (грубо кажучи, в яку країну і куди відправлялися дані). Тому якщо компанія, наприклад, не має комерційних зв'язків з Перу, але туди були передані якісь дані, то це вже сигнал адміністратору для перевірки первинної інформації (хто, що і куди).



• Users activity – показує інформацію про активність користувачів корпоративної мережі, зокрема, дані по користувачам, авторизованим на кінцевих точках.



• Bandwidth consumers – допомагає виявляти процеси і користувачів, які споживають максимальні обсяги трафіку. Наприклад, можна подивитися десятки додатків, у яких найбільший вхідний або вихідний) трафік в мережі підприємства, а також десятки пар (користувач-комп'ютер) з найбільшим вхідним (або вихідними) трафіком в мережі підприємства.



• Data File Accessed – показує файли, до яких здійснювався доступ користувачами мережі підприємства. Завдяки цим звітам адміністратори можуть отримати доступ до деяких функцій DLD (система виявлення витоку даних). Зокрема, можна переглянути список файлів, до яких було найбільше спроб доступу з кінцевих точок, а також переглянути статистику доступу до файлів користувачам і типом розширення.



Подібно до інших програм, тут також можна здійснювати експорт даних в CSV і переглядати первинну інформацію, щоб з'ясувати, наприклад, хто саме, коли, звідки і яким чином намагався отримати (або отримав) доступ до того чи іншого файлу в мережі підприємства.

З додатком Data Access Control також пов'язане одне попередньо задане повідомлення, яке інформує адміністратора про обсяг даних, надісланих кожним користувачем за останні 24 години.

Оповіщення ART

Взагалі, система оповіщень в Advanced Reporting Tool досить потужна і гнучка. Вона дозволяє адміністраторам без перегляду веб-консолі бути в курсі подій, які відбуваються в мережі і які вимагають їх уваги. Таким чином, це-ключовий модуль для мінімізації ІТ-відділом часу реакції, якщо підприємство стикається з потенційно небезпечними ситуаціями.

Система оповіщень пропонує набір попередньо налаштованих повідомлень (про деякі з них було вже сказано вище), але вона може бути повністю налаштована адміністратором мережі, який може створювати нові оповіщення для конкретних ситуацій, включаючи періодичність таких сповіщень, умови генерації (наприклад, коли хто-то на якійсь машині запустить певну програму або відкриє якийсь файл) та метод доставки.

Конфігурувати попередньо налаштовані оповіщення можна в розділі в розділі Administration -> Alerts Configuration, а переглядати оповіщення можна в розділі Alerts.

Архітектура системи сповіщень

Система оповіщень в Advanced Reporting Tool включає в себе кілька повністю настроюються модулів. Нижче представлена послідовність процесів:



• Генерація подій: кожен запис у таблиці знань генерує унікальна подія, яка пізніше може бути конвертовано в одне або більше повідомлень
• Модуль повідомлень: події, які відповідають певним критеріям, налаштованим адміністратором в модулі сповіщень, будуть генерувати саме оповіщення
• Модуль анти-флудинг: запобігає проблему лавини повідомлень, дозволяючи модуля генерації повідомлень тимчасово припиняти генерацію в тому випадку, якщо досягнутий певний ліміт, встановлений адміністратором.
• Модуль пост-фільтрації: обробляє згенеровані оповіщення, змінюючи їх властивості або навіть вибірково знищуючи їх відповідно до критеріїв, встановлених адміністратором
• Модуль доставки: дозволяє вибрати спосіб доставки повідомлень: по електронній пошті, через HTTP або HTTPS з використанням об'єктів JSON з допомогою POST-методу, відправка на сервери Service Desk Plus за допомогою методів REST або SERVLET, на сервери Jira, на сервери PushOver або на сервери PagerDuty.

Створення власних сповіщень

Щоб створити власне повідомлення, необхідно перейти в розділ Search і вибрати потрібну таблицю знань, за даними якої буде спрацьовувати оповіщення.



Далі в цій таблиці необхідно застосувати відповідні фільтри для відображення необхідної інформації, після чого натиснути на іконку у панелі інструментів.



У випадаючому вікні необхідно встановити параметри оповіщення та періодичність генерації оповіщення.

Таким чином, можна створити будь-яку необхідну оповіщення в залежності від ситуації, яку необхідно додатково контролювати, чи то запуск уразливого програми, модифікація файлів та ін

Інші опції системи сповіщень

У даній статті ми не будемо детально зупинятися на всіх опціях системи сповіщень, т. к. управління ними досить тривіально і наочно. Скажемо лише, що система дозволяє досить гнучко управляти оповіщеннями, а також створювати пост-фільтри, які дозволяють адміністраторам змінювати функції згенерованих повідомлень до їх відправлення (включаючи видалення деяких з них у відповідності з визначеними критеріями), або політики надсилання оповіщень і політики антифлудинга.

Таблиці акумульованих знань

Adaptive Defense 360 відправляє всю інформацію, зібрану з встановлених на кінцевих точках агентів, у SIEM-систему (у нашому прикладі –Advanced Reporting Tool), яка організовує її у вигляді простих для читання таблиць. Дана інформація охоплює кожен процес, запущений в корпоративній мережі, незалежно від його характеру (шкідливий чи ні).

Кожна лінія таблиці – це окрема подія, яка контролюється корпоративним антивірусом. Таблиці містять набір певних полів, як специфічні, так і загальні для всіх таблиць: коли відбулася подія, комп'ютер, IP-адреса тощо

Багато поля використовують певні префікси, наприклад:

• Parent: якщо поле починається з цього тега (наприклад, parentPath, parentHash тощо), то воно відображає зміст характеристики або атрибута батьківського процесу
• Child: якщо поле починається з цього тега (наприклад, childPath, childHash тощо), то воно відображає зміст характеристики або атрибута дочірнього процесу, створеного батьківським процесом
Крім цих префіксів є й інші абревіатури, на яких зараз ми не будемо зупинятися, але їх опис доступно супроводжує сервіс документації.

Втім, нижче перерахуємо таблицю знань з коротким поясненням того, який тип інформації вони містять:

• Alert: інциденти, які відображаються в панелі Activity в Panda Adaptive Defense 360. Таблиця містить для кожної загрози, виявленої на комп'ютері в корпоративній мережі, рядок з інформацією про комп'ютер, тип інциденту, часу і результаті.
• Drivers: містить всі операції з драйверами, виконані процесами, запущеними на комп'ютерах користувачів корпоративної мережі
• URLdownload: містить інформацію про HTTP-завантаження, виконаних процесами, запущеними на комп'ютерах користувачів корпоративної мережі
• Hook: містить дані по всіх операціях створення або маніпулювання клавіатурою або мишею, виявленим на системах користувачів
• Hostfiles: містить дані про всі операції, при яких змінювався файл HOSTS в операційних системах користувачів
• Install: містить всю інформацію, що генерується під час установки Panda Adaptive Defense 360 на комп'ютерах користувачів
• Monitoredopen: містить інформацію щодо доступу до файлів з даними з боку додатків, запущених на комп'ютерах користувачів і процесів, які звертались до даних користувача
• MonitoredRegistry: містить дані по кожній спробі зміни Реєстру, а також доступу до Реєстру прав, паролів, сховищ сертифікатів тощо
• NotBlocked: містить об'єкти, які Panda Adaptive Defense 360 не сканував в результаті виняткових ситуацій, таких як таймаут служби при запуску, зміни в конфігурації тощо
• Ops: містить всі операції, виконані процесами в мережі користувача
• ProcessNetBytes: містить дані за обсягом трафіку процесів, запущених в мережі підприємства
• Registry: містить всі операції, здійснені в гілках Реєстру шкідливими програмами, щоб підвищити свою «живучість» і спокійно «пережити» перезавантаження комп'ютера
• Socket: містить всі мережеві підключення, встановлені процесами, запущеними в мережі підприємства
• Toast: містить записи, які з'являються в таблиці кожен раз, коли агент Panda Adaptive Defense 360 показує користувачеві повідомлення
• VulnerableAppsFound: містить інформацію про кожному уразливому додатку, встановленому на кожному комп'ютері в мережі підприємства. На відміну від таблиці Ops, де показуються запущені додатки, тут показуються вразливі додатки, які встановлені (при цьому можуть бути не запущені).

Як спробувати самому

Щоб подивитися можливості Advanced Reporting Tool, достатньо мати лише пристрій, підключений до Інтернету, і звичайний веб-браузер для підключення до хмарної демо-консолі:

• URL: demologin.pandasecurity.com
• Логін: DRUSSIAN_FEDERATION_C14@panda.com
• Пароль: DRUSSIAN#123

В цьому випадку Ви зможете зайти в демо-консоль Panda Adaptive Defense 360, де на віртуальному прикладі зможете подивитися можливості цього продукту з усіма доступними опціями. А з Panda Adaptive Defense 360, як описувалося вище, можна перейти в демо-консоль Advanced Reporting Tool і подивитися роботу інтегрованої з корпоративним антивірусом SIEM-системи з величезним обсягом поданої в ньому інформації. Все дуже наочно й ефектно.

Якщо ж Ви хочете безкоштовно спробувати рішення у своїй мережі на реальних машинах, то Ви можете звернутися до компанії Panda Security з проханням зареєструвати необхідну кількість ліцензій Panda Adaptive Defense 360 + Advanced Reporting Tool.

Висновок
Повертаючись до того, з чого ми почали цю статтю, хочеться ще раз звернути увагу на те, що сучасні SIEM-системи дійсно корисні в середніх і великих підприємствах для управління інформаційною безпекою та ризиками. Такі системи дозволяють миттєво отримувати оброблену експертну інформацію удобоваримом вигляді, щоб вчасно приймати ефективні рішення з протидії шкідливим і несанкціонованим діям, мінімізації ризиків безпеки та запобігання витоку корпоративних даних. Крім того, SIEM-системи можуть використовуватися для ретельного розслідування інцидентів інформаційної безпеки, щоб встановити, що, де, коли, як і з ким сталося.

У нашій статті ми розглянули приклад інтеграції корпоративного антивіруса з SIEM-системою на прикладі Panda Adaptive Defense 360 і Advanced Reporting Tool, бо обидві ці системи є хмарними рішеннями з усіма властивими їй перевагами (відсутність локальної інфраструктури, швидке впровадження, одержання ефекту з перших же хвилин використання, значне скорочення витрат на впровадження і обслуговування). Більше того, обидва ці рішення вже інтегровані між собою, а тому не потрібно здійснювати жодних дій щодо інтеграції SIEM-системи та корпоративного антивіруса. В результаті такого підходу Advanced Reporting Tool впроваджується миттєво з моменту впровадження Panda Adaptive Defense 360, а її перевагами можна скористатися вже з перших хвилин використання.

Втім, навіть якщо на підприємстві вже є корпоративний антивірус або власна SIEM-система, окремий продукт Adaptive Defense може використовуватися як «збирача» величезного обсягу первинної інформації з подальшою її автоматичним вивантаженням у SIEM без впливу на продуктивність комп'ютерів. При тому, що Adaptive Defense буде ще вкрай корисний як «захисника» від невідомих погроз, спрямованих атак і шифрувальників, працюючи паралельно наявного корпоративного антивірусу.

У величезному потоці інформації складно оперативно фіксувати і відслідковувати все, що необхідно. І в цьому плані SIEM-системи можуть здорово допомогти.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.