В новой версии «СёрчИнформ SIEM» появился коннектор, который позволяет собирать данные по протоколу SSH (Secure Shell). Благодаря доработке SIEM-система улучшила возможности по контролю IT-инфраструктуры заказчиков: к ней можно подключить любое оборудование и ПО с unix-оболочкой, а также устройства и процессы на Windows. По охвату новый коннектор сопоставим с коннектором для syslog — самого универсального формата обмена данными.
В отличие от стандартных коннекторов, которые собирают из источников события безопасности, SSH-коннектор опрашивает устройства и ПО об их текущем статусе. Таким образом протокол SSH помогает получать сведения о состоянии IT-инфраструктуры: например, о загрузке процессора, оперативной памяти и пр. Это полезно, чтобы отслеживать аномалии в штатной работе устройств и программ, которые могут выступать клиентом и сервером для SSH-подключений. Аномалии, в свою очередь, могут говорить об атаках — протокол SSH ввиду его широких возможностей нередко используют хакеры.
В решении «СёрчИнформ» из «коробки» сразу доступны правила корреляции, которые среди полученных SSH-коннектором данных способны вычислить потенциальные проблемы. События с коннектора можно объединить с событиями из других источников с помощью сервиса кросс-корреляции. Наконец, «СёрчИнформ SIEM» позволяет запускать автоматическую реакцию, заданную пользователем, на выявленные инциденты, в том числе обнаруженные по событиям SSH.
«Наша SIEM-система практикоориентированная, мы задумывали ее как средство, в том числе, борьбы с угрозами. Сначала реализовали проактивный функционал, теперь поддержали запросы по SSH. Это выходит за рамки стандартного функционала SIEM и позволяет заказчикам получить нужные инструменты без закупки дополнительного ПО», — объяснил системный аналитик «СёрчИнформ» Павел Пугач.