UN ENTORNO COMPLEJO

El entorno de IT en una empresa moderna es un mecanismo complejo que consiste de varios sistemas corporativos: un servidor SO y PC, bases de datos, pantallas digitales, anti-virus, aplicaciones, ActiveDirectory, Exchange. Todas las actividades en esos sistemas se registran. No obstante, sin un instrumento automatizado es imposible supervisar acciones, analizar y tomar medidas adecuadas.

SearchInform SIEM, (Security Information and Event Management) soluciona ese problema: la aplicación recolecta y analiza los eventos en distintas redes corporativas con el objetivo de revelar las amenazas y violaciones de las políticas de seguridad informática. El mecanismo complejo de SIEM se basa en un algoritmo bastante simple:

• Recolección de los eventos de distintos sistemas (sistemas técnicos de la red, software, medios de protección, SO).
• Unificación de datos diferentes al modelo universal.
• Análisis de datos y detección de amenazas.
• Grabación de los incidentes y aviso en tiempo real.

Objetivos y tareas del sistema

Recolección y análisis de eventos en distintos fuentes

Inicialmente, si no hay gestión centralizada de todos eventos en infraestructura de IT, esto puede causar diversos riesgos:

• el incidente fue “perdido”;
• es imposible encontrar detalles y entender las razones (una revista del registro de eventos fue eliminada, la protección anti-virus desactivada);
• no se pueden recuperar los datos.

Recolección centralizada

Nuestra solución de SearchInform SIEM permite realizar una recolección centralizada de los eventos en la infraestructura de la compañía. El sistema lleva a todas los registros online de todas las fuentes al formato unificado, para facilitar su análisis.

Análisis de los eventos e incidentes real-time

Es importante indicar que SearchInform SIEM no solo unifica los eventos, sino valora su importancia: el sistema visualiza la información con la referencia a los eventos más críticos e importantes.

Correlación e interpretación de las reglas

Por tanto, el análisis de solo un evento no siempre permite concluir sobre el incidente en sí. Por ejemplo la el fallo en una autorización puede ser por casualidad, pero 3 y más intentos pueden mostrar una tendencia o un problema de seguridad.

Para identificar los incidentes realmente críticos, SearchInform SIEM funciona de acuerdo con las reglas, que consisten de la lista de los requisitos y cuentan con escenarios diferentes de acciones.

Notificación automática y gestión de los incidentes

Finalmente,  la plataforma SearchInform SIEM hace el monitoreo de los eventos en tiempo real, lo que permite interpretarlas enseguida al ingresar en sistema. 

De ese modo, la solución cumple con su tarea principal: creación de las condiciones para garantizar la toma inmediata de las medidas necesarias para gestionar la seguridad contra los incidentes.

Nuestra aplicación SearchInform SIEM revelará:

• La actividad sospechosa de los usuarios.
• “Epidemia” viral o los virus informáticos.
• Los casos de abusos e interrupciones en los sistemas informáticos.
• Los fraudes con correos electrónicos, bases de datos y otros recursos corporativos de IT.

La solución propuesta de SearchInform SIEM es un sistema SIEM único, que no sigue las vías tradicionales ofrecidas por otros integradores. 

Al crear software, tomamos en cuenta la experiencia vital y objetivos de empresas de distintas áreas de negocio y así hicimos un software pre-integrado máximo posible y que funciona “de caja”.

Sin embargo, es posible ajustar el sistema como usted lo requiera y está diseñado de forma tal, que cualquier especialista de seguridad informática puede trabajar con ese sistema , no requiriendo conocimientos especiales de programación.

Algoritmo del funcionamiento de SearchInform SIEM

 

Qué controla?

Los fuentes de datos para SearchInform SIEM son:

• Los controlers del dominio Active Directory;
• Solicitudes a recursos de archivos;
• Actividad de los usuarios;
• Las servidoras de correo Exchange;
• Anti-virus Kaspersky;
• MS SQL;
• Syslog de dispositivos y aplicaciones;
• SearchInform DLP.

Lógica del trabajo: incidentes

Inicialmente, el trabajo con SIEM supone procesamiento de la cantidad grande de los eventos varios con consolidación automática en las cadenas, lo que permite revelar las amenazas mediante el análisis complejo de todos los datos.

Por otro lado, en la puerta el producto recibe la lista de varios eventos, en la salida da las conclusiones complejas y argumentadas: estadística, alertas sobre anomalías, interrupciones, intentos del acceso no autorizado, mientras los medios de defensa están desactivados, sobre los virus, transacciones sospechosas, fugas, etc. Mientras tanto las tareas del sistema son siguientes: disminuir el tiempo necesario para reacción del sistema a ciertos incidentes.

Finalmente, los algoritmos de la detección de los incidentes utilizan varios medios – desde verificación de la сonformidad con las normas de seguridad informática, y hasta el algoritmo intelectual de la búsqueda de anomalías estáticas. SearchInform SIEM controla la infraestructura corporativa de manera estable y continua.

Políticas predefinidas de SearchInform SIEM

• PARA CONTROLADORES DE DOMINIO ACTIVE DIRECTORY

  • Cambio de nombre temporal de la cuenta.
  • Búsqueda de combinaciones para la contraseña.
  • Múltiples cuentas de usuario en solo equipo.
  • Establecimiento de contraseña por el administrador del dominio.
  • Contraseñas obsoletas.
  • Estadística de acceso.
  • Una cuenta en múltiples computadoras.
  • Cambio de la contraseña por el usuario.
  • Activación temporal de una cuenta de usuario.
  • Adición temporal de la cuenta de usuario a un grupo.
  • Cuentas de usuario AD anticuadas.
  • Expedición temporal de derechos de acceso AD.
  • Creación de cuenta de usuario temporal.
  • Operaciones con sobre las cuentas.
  • Modificación de la membresía de los grupos críticos de usuarios.
  • Uso de cuentas de servicio.
  • Limpieza del registro de eventos del usuario.
  • Modificación de la política de auditoría.

• PARA OPERACIONES SOBRE ARCHIVOS

• Expedición temporal de permisos para un archivo/carpeta.
• Acceso a los recursos críticos.
• Gran cantidad de usuarios que trabajan con el archivo.
• Trabajo con tipos determinados de archivos.
• Estadística de modificaciones de derechos de acceso a los archivos/carpetas.

PARA MS SQL

• Creación temporal de cuentas MS SQL.
• Activación temporal de cuentas MS SQL.
• Cambios estadísticos de permisos de acceso a MS SQL.
• Inclusión temporal del usuario en el rol de seguridad de BD.
• Establecimiento de contraseña de la cuenta de usuario por el administrador SQL de BD.
• Cambio de nombre temporal de la cuenta de MS SQL.

PARA EL ANTIVIRUS KASPERSKY

• Bloqueo de ejecución de programas por la autoprotección del antivirus.
• Autoprotección del antivirus deshabilitado.
• Componentes de protección del antivirus deshabilitado.
• Ordenador en estado crítico.
• Detección de programa potencialmente dañino.
• Falla al realizar una tarea administrativa de gestión.
• Antivirus sin licencia.
• Cambios de membresía en el grupo administrador.
• Programas bloqueados e infectados.
• Epidemia de virus detectada.

PARA EXCHANGE

• Modificación de los parámetros de auditoría del administrador.
• Grupos de roles de gestión modificados.
• Concesión de acceso al buzón de correos.
• Modificación del propietario del buzón de correos.
• Cambios en el conjunto de los roles de gestión.
• Acceso al buzón de correos por otro usuario.

DE ACTIVIDAD DE USUARIOS

• Actividad fuera del tiempo laboral.
• Actividad de un usuario ausente por un largo periodo de tiempo.

PARA SYSLOG

• Reglas propias de Syslog.
• Eventos del núcleo del sistema operativo.
• Eventos de nivel de usuario.
• Eventos de sistemas de correo.
• Eventos de servicios del sistema.
• Eventos de seguridad y autorización.
• Eventos internos de Syslog.
• Eventos del protocolo de impresión progresiva.
• Eventos del protocolo de noticias.
• Eventos de subsistemas UUCP.
• Eventos de servicios de tiempo.
• Eventos de servicios FTP.
• Eventos de subsistemas NTP.
• Registro de eventos de auditoría.
• Registro de eventos de alertas.
• Eventos de servicios de planificación.
• Otros eventos.
• Eventos de SearchInform DLP.

SearchInform SIEM presenta los resultados de «caja», no requiere subcontratación de terceras partes calificadas para completar las normas de reacción y adaptación de reglas de correlación , además adecuadamente y sin complicaciones se integra con una infraestructura IT existente.

• Implementación fácil

SearchInform SIEM no requiere сonfiguración preliminar. Las políticas pre-integradas se basan en una lista de las tareas típicas, que usan los clientes de SearchInform en diferentes países. SearchInform SIEM proporciona los primeros resultados analíticos de “caja”.

• Facilidad de uso

La complejidad del mantenimiento de la mayoría de los sistemas SIEM requiere subcontratación de los empleados muy bien calificados y con altos costos de terceros. SearchInform SIEM se integra  con las políticas establecidas y toma en cuenta la experiencia y objetivos de las empresas de distintas áreas de negocio y economía. El sistema va a implementarse  del mismo modo: agregando al soporte nuevas fuentes de datos y  el cliente recibe y aplica el juego pre-integrado de normas.

• Aplicable incluso para PYMES

Los requerimientos bajos de SearchInform SIEM respecto a los dispositivos y una política de precios apropiada, lo hacen viable aún para el negocio pequeño. La solución se integra rápido y requiere configuración mínima.

• Tiene en cuenta la experiencia de miles de clientes

Se ha incorporado y  estudiado la experiencia de los clientes, incluyendo grandes compañías, y se han identificado las necesidades comunes y mejores prácticas, para utilizarlos en SearchInform SIEM.

• Simbiosis de SIEM y DLP

El trabajo oportuno de SearchInform SIEM y SearchInform DLP fortalece significativamente el nivel de la seguridad informática en una empresa. SIEM revela el comportamiento anormal y define el método de obtención de la información. DLP estima el contenido de todas comunicaciones. El conjunto de los sistemas brinda la oportunidad de investigar el incidente con más profundidad y completar la base de pruebas.

SearchInform garantiza que durante el plazo de un año calendario desde el momento de adquisición del software (el programa informático) el producto va a funcionar de acuerdo con los parámetros funcionales y técnicos, indicados en el acuerdo de licencia y documentación del programa, a condición de cumplir con las normas de su uso. Desviaciones no significativas mientras el uso del producto no se consideran defecto.

Durante un año calendario se prestará el servicio de garantía gratis en el volumen mencionado a continuación en relación del soporte técnico.

Las obligaciones de garantía no se aplican, si el uso del producto realiza con incumplimiento de los requisitos y violación de los mismos, indicados en el acuerdo de licencia y documentación de programa, incluyendo la modificación no autorizada del producto.

El orden de prestación del servicio de soporte técnico

Tras la expiración del año el soporte técnico se presta de acuerdo con las condiciones contratadas por el cliente, considerando  la adquisición de los códigos de activación del soporte técnico y firma del acuerdo para prestación del servicio.

En en el marco del soporte técnico del producto los usuarios disponen de:

• el derecho de utilizar nuevas versiones del producto;
• el soporte técnico del producto.

Los usuarios finales reciben el soporte técnico del software realizado por los expertos del Departamento de Integración y Departamento del soporte técnico.

Si por la empresa ya está establecido dicho experto,los usuarios pueden acudir directamente a él o acudir al uno de los departamentos, dependiendo de la solicitud:

Departamento de Integración: Brinda los siguientes servicios

 . Consultoría sobre la utilización de las aplicaciones customizadas del producto.

. Consultoría de ajustes de las políticas de seguridad ( modificaciones del programa)

. Consultoría en nuevas versiones.

. Consultoría sobre las funciones de nuevas versiones.

Departamento de soporte técnico:

 . Soporte de instalación del producto

. Consultoría individual de producto, ajustes y utilización de la consola del producto.

.  Suministro de links para nuevas versiones y descargas por correo electrónico.

. Soporte en la aplicación de novedades o mejoras.

. Servicio técnico en oficinas del cliente, en caso de ser necesario.